登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

梦想之鹰的天空

天高任鸟飞......放飞....心情..........放飞.....梦想

 
 
 

日志

 
 

量化安全风险、威胁和漏洞的方法[转]  

2011-07-22 14:29:55|  分类: 信息化 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
通常,风险趋势很难量化。在我讨论大量可以量化的事物之前,理解一些风险的知识非常重要,特别是在安全环境中。我在TruSecure(现在的CyberTrust)公司工作的时候,CTO Peter Tippett通过简单等式定义风险。

  风险 = 威胁 x 漏洞 x 成本

  威胁是常见的不利事件。漏洞是成功攻击的可能性,而成本是成功攻击的整体经济影响。很多人都有不同的方式来量化风险,例如,投资人、精算师和安全专家都有不同的观点,但是这种定义对我这样的领导者老说足够简单,所以我们就用这个吧。

  你需要量化你的安全环境(哪些是威胁和漏洞),然后计算风险暴露的成本。实际上,你可以多花点时间构建一个复杂的博士级别的模式,但是仍然会出错。基本上,你是根据顶级的假设再作假设。

  开始,指出重要的部分,关注成本。哪些业务系统对公司最重要?谁在使用?他们的时间价值如何?一旦你对最重要的系统有了了解,然后就可以指出对这些系统最可能的威胁。他们容易受到跨站脚本攻击吗?还是强力拒绝服务攻击?使用这些发现来开发一个现实的评估系统,评估如果这些攻击成功了,可以造成关键系统宕机的可能性。 

  我喜欢简单化,而且我建议大家也采用一种高质量的方式来量化安全相关的一切。我在我的书《求真务实的CSO》(The Pragmatic CSO)中都涵盖了这些,但是这里提供一个删节版。

  基本上,如果采用新流程或者安全新产品有作用就要尝试建立,并指出具体的产品会影响哪些节点。安装一个Web应用防火墙可以减少关键应用上的XSS攻击的可能性吗?如果是,可以达到什么程度?猜测一下。这样会影响攻击的频率吗?(不。唯一的方法是让系统离线,这样那些数字才会保持不变。)这种方法将会允许你把不同的观点惊醒公平的对比,而且指出哪种减轻的风险程度最高。

  我不是特别系统简单的计算数量。我描述的这种分类方法可以让你衡量某些决定,只是通过使用重要的方法:关键业务系统的风险。

  评论这张
 
阅读(432)| 评论(0)

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018