GRCguy14/threat-informed-risk-register

# 威胁感知风险登记册 (TIRR) 大多数风险登记册使用业务术语来描述风险——“未经授权的访问”、“数据泄露”、“内部威胁”。它们很少将这些风险与攻击者的实际操作方式，或者与哪些具体控制措施能降低这些风险联系起来。 本项目旨在填补这一空白。 TIRR 是一家虚构的金融科技 SaaS 公司（NimbusLedger）的结构化风险登记册，它将每项企业风险与其背后的真实对手技术 (MITRE ATT&CK) 以及缓解该风险的具体控制措施 (NIST 800-53) 联系起来，然后对每项风险的实际覆盖程度进行评分。 ## 数据模型 每个风险条目回答了四个问题： 1. **可能出什么问题？** - 针对 NimbusLedger 的具体、有根据的场景 2. **攻击者会怎么做？** - 映射到 MITRE ATT&CK 技术 ID 3. **什么能防御它？** - 具体的 NIST 800-53 控制措施，评级为是 / 部分 / 否 4. **我们的覆盖程度如何？** - 量化的覆盖率得分和残余风险得分 **评分逻辑：** - `coverage_score` = (yes × 1 + partial × 0.5 + no × 0) ÷ total controls - `inherent_risk_score` = impact_value × likelihood_value (each 1–5, max 25) - `residual_risk_score` = inherent × (1 − coverage_score) 覆盖率得分根据 YAML 条目自动计算。 运行：`pip install pyyaml && python scripts/score_risks.py` ## 风险登记册 | ID | 标题 | 战术 | 影响 | 可能性 | 固有 | 覆盖率 | 残余 | 状态 | |-------|----------------------------------------------|-------------------------|----------|------------|----------|----------|----------|------------| | R-001 | Phishing - 凭证窃取 | Initial Access | 高 | 高 | 16 | 62.5% | 6 | 监控中 | | R-002 | 利用面向公众的应用程序 | Initial Access | 严重 | 中 | 15 | 75% | 4 | 监控中 | | R-003 | 通过有效账号进行凭证撞库 | Initial Access | 高 | 高 | 16 | 75% | 4 | 监控中 | | R-004 | 外部远程服务受损 | Initial Access | 高 | 中 | 12 | 83.3% | 2 | 监控中 | | R-005 | 第三方供应商可信关系 | Initial Access | 高 | 中 | 12 | 50% | 6 | 监控中 | | R-006 | 在 endpoint 上执行恶意脚本 | Execution | 高 | 中 | 12 | 50% | 6 | 待处理 | | R-007 | 通过计划任务留存的持久后门 | Persistence | 高 | 中 | 12 | 50% | 6 | 待处理 | | R-008 | 通过 AWS IAM 配置错误进行权限提升 | Privilege Escalation | 严重 | 中 | 15 | 70% | 5 | 监控中 | | R-009 | 通过服务账号 token 进行横向移动 | Lateral Movement | 严重 | 中 | 15 | 80% | 3 | 监控中 | | R-010 | 通过 S3 bucket 窃取客户 PII | Collection / Exfil | 严重 | 中 | 15 | 80% | 3 | 监控中 | ## 风险示例详解 - R-001 **场景：** 攻击者向 NimbusLedger 员工发送旨在窃取 Okta SSO 凭证的钓鱼邮件。一旦成功入侵，攻击者将获得经过身份验证的访问权限，进而访问 AWS console 和客户财务数据。 **ATT&CK 映射：** - T1566 - Phishing (Initial Access, TA0001) - T1566.001 - Spearphishing Attachment **映射的控制措施：** | 控制措施 | 名称 | 实施情况 | |---------|-------------------------------|-------------| | AT-2 | 安全意识培训 | 是 | | IA-2(1) | 特权账号的 MFA | 是 | | SI-3 | 恶意代码防护 | 部分 | | IA-5(1) | 抗钓鱼认证 | 否 | **得分：** - 固有风险：4 × 4 = **16 / 25** - 覆盖率：(1 + 1 + 0.5 + 0) / 4 = **62.5%** - 残余风险：16 × (1 − 0.625) = **6 / 25** **建议：** 实施 IA-5(1) - 抗钓鱼认证器 (FIDO2 / 硬件密钥)。仅此一项控制措施就能将覆盖率提高到 87.5%，并将残余风险从 6 降至 2。 ## 涵盖的战术 | 战术 | MITRE ID | 风险 ID | |----------------------|----------|-----------------| | Initial Access | TA0001 | R-001 至 R-005 | | Execution | TA0002 | R-006 | | Persistence | TA0003 | R-007 | | Privilege Escalation | TA0004 | R-008 | | Lateral Movement | TA0008 | R-009 | | Collection | TA0009 | R-010 | | Exfiltration | TA0010 | R-010 | ## 仓库结构 ``` threat-informed-risk-register/ │ ├── risks/ │ ├── R-001.yaml - Phishing — credential theft │ ├── R-002.yaml - Exploit public-facing application │ ├── R-003.yaml - Credential stuffing via valid accounts │ ├── R-004.yaml - External remote service compromise │ ├── R-005.yaml - Third-party vendor trusted relationship │ ├── R-006.yaml - Malicious script execution on endpoint │ ├── R-007.yaml - Persistent backdoor via scheduled task │ ├── R-008.yaml - Privilege escalation via AWS IAM misconfiguration │ ├── R-009.yaml - Lateral movement via service account tokens │ ├── R-010.yaml - Customer PII exfiltration via S3 bucket │ └── RISK-REGISTER.md - Consolidated risk table (all 10 entries) │ ├── controls/ │ └── README.md - NIST 800-53 control families reference │ ├── mappings/ │ └── README.md - ATT&CK ↔ NIST 800-53 crosswalk notes │ ├── docs/ │ ├── company-profile.md - NimbusLedger fictional company profile │ ├── data-model.md - Schema documentation and scoring logic │ └── glossary.md - Plain-English reference for all codes │ └── scripts/ ├── score_risks.py - Automated coverage scoring engine └── results.json - Latest scoring output ``` ## 虚构公司 **NimbusLedger** - 一家 B2B 金融科技 SaaS 公司（80 名员工，位于特拉华州威尔明顿），为约 500 家中小型企业 (SMB) 客户提供基于 cloud 的会计软件。托管于 AWS (us-east-1)，使用 Okta SSO、Splunk Cloud SIEM，SOC 2 Type II 认证正在进行中。 完整资料：[docs/company-profile.md](docs/company-profile.md) ## 涉及的框架 | 框架 | 在本项目中的角色 | 链接 | |------------------|--------------------------------------------|------| | MITRE ATT&CK | 对手技术映射 | [attack.mitre.org](https://attack.mitre.org) | | NIST SP 800-53 | 安全控制目录 | [csrc.nist.gov](https://csrc.nist.gov/projects/risk-management/sp800-53-controls) | | NIST CSF 2.0 | 风险管理背景 (识别、保护、检测、响应、恢复) | [nist.gov/cyberframework](https://www.nist.gov/cyberframework) | ## 作者 **Om Satam** - 特拉华大学网络安全硕士 [linkedin.com/in/om-satam](https://linkedin.com/in/om-satam) · [github.com/GRCguy14](https://github.com/GRCguy14)

标签：Cloudflare, MITRE ATT&CK, NIST 800-53, 企业风险管理, 合规框架, 威胁建模, 逆向工具, 风险量化评分