提高安全投资回报:威胁建模和OPEN FAIR™风险分析
https://img-blog.csdnimg.cn/img_convert/aad87f74bdb87cfc6a3a2115e427f8c8.jpeg对大多数人和企业来说,安全意味着一种本钱。但重要的是怎样获得适合的量,而不是越多越好。然而,你怎样决定什么时候可以有足够的安全性,以及你怎样获得它?则完全是另一回事。
该篇文章是由The Open Group安全论坛主理,微软和Kyndryl等企业的安全专家以及其他安全论坛成员领导完成,将描述威胁建模(Threat Modeling)与Open FAIR™风险分析的相干性。该系列文章共有4篇,重要围绕怎样通过威胁建模和Open FAIR™风险分析提高安全投资回报。
我们生存在一个复杂、相互关联的世界里。它不断为我们提供新的时机,以及随之而来的新挑战。我们都认识“互联网”“社交媒体”和“物联网”等术语,我们正在用“天生人工智能(AIGC)”“量子”和“元宇宙”来扩展我们的词汇量。除了这些术语外,我们继承更加认识“安全”和“隐私”等不太令人愉快的话题。
安全被视为“做生意的本钱”。如果你不如许做,你将受到损害,你将面对庞大的经济损失,以及对声誉的损害。因此,您必须做任何必要做的事情来确保您的办理方案。然而,这不太可能是一种具有本钱效益的方法。
https://img-blog.csdnimg.cn/img_convert/6b0efdbfb63a5f11c1ce4e86eb457df0.jpeg
所以,问题是:到底必要多少安全性就足够了?
安全控制不是免费的。他们每个人都有实施和运营本钱。当你实施它们时,你会得到递减的回报,因为你实施的每个控制都会降低残余风险。在某一点上,您将获得低于下一次控制本钱的剩余风险。这是你应该制止添加更多控件的时候,因为本钱将超过你将获得的收益。
这些思量因素有可能彻底改变我们未来掩护资产的方式。它们暗示安全可能成为企业可用于控制其办理方案经济的另一种工具。我们可以从当前的现实,即组织盲目地将资源投入到发起和合规法规中,而不评估预期收益,转向新的现实,即他们批判性地思索组织必要什么,以便以准确的本钱获得足够的安全性。在这个新的现实中,组织不再通过实施所有可用的安全工具来分散和浪费他们的时间、注意力和款项。相反,他们将实施和操作安全控制的本钱与恶意活动者在受到攻击时造成的估计损失举行比较。
为了实现这一目标,我们确定了两种差别的工具:威胁建模和OPEN FAIR™风险分析
威胁建模是一个过程,可以帮助您了解特定系统的安全威胁,确定这些威胁的潜在损失,并建立得当的缓解措施。威胁建模宣言提出了一个令人信服的理由:
当您执行威胁建模时,您开始辨认系统中可能出现的问题。它还答应您确定必要缓解的设计和实施问题,无论是在系统的早期还是整个生命周期中。威胁模子的输出被称为威胁,它为您在后续设计、开发、测试和部署后阶段可能做出的决议提供信息。
换句话说,威胁建模答应您了解恶意活动者怎样选择攻击您的系统,并确定您可以实施哪些控件来防止、检测和相应这些攻击。
威胁建模终极会产生一个控件列表,并表明白为什么您应该采用它们。然而,它并不能帮助您了解在更大的业务情况中应该采取什么行动(如果有的话)。您的办理方案可能已经足够强大,以至于攻击的潜在损失无法证明进一步投资实施增量安全控制是合理的。但你怎么确定呢?这就是Open FAIR风险分析的拯救之地。
Open FAIR™知识体系提供了一致的、经过行业测试的分类法和方法来量化因网络安全事件而造成的潜在损失。Open FAIR™风险分析偏重于辨认和描述损失情景——从不良活动者(威胁署理)接洽资产、努力妥协资产并导致组织因妥协(重要损失)而遭受可观察到的、可量化的损失,以及可能因“辐射”(二次损失)而导致额外损失的一系列事件。
https://img-blog.csdnimg.cn/img_convert/946bc8efa34cd634c9d0ffd6681df8ef.png
根据威胁建模的发起,通过利用Open FAIR流程来分析差别控制组合的影响,组织可以有效地确定哪组控制对降低系统的风险最有效。更重要的是,组织可以通过思量风险的总体降低以及实施这些控制的本钱来决定给定系统的最佳控制集。这意味着组织现在可以根据与业务相干的客观数据做出业务决议。
呼吁
这篇博客文章是四个系列文章中的第一篇,将描述第一个将威胁建模与Open FAIR风险分析接洽起来的项目。第二篇文章将向您展示怎样将威胁建模与Open FAIR风险分析相连合,以评估系统的当前状态。在第三篇文章中,我们将讨论怎样思量控件来估计其效果并举行一些本钱优化。这不光有助于办理“多少安全就足够了?”的问题,还有助于办理更重要的问题——“我们应该怎么做?”第四篇文章将先容使用这些概念来定义KPI的注意事项,以评估您的开发团队怎样确保他们正在构建的办理方案。
[*] 帖子2:评估当前风险
[*] 帖子3:估计缓解的影响
[*] 帖子4:威胁建模和开放公平风险分析作为敏捷项目的KPI
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]