提高安全投资回报:威胁建模和OPEN FAIR™风险分析

这篇具有很好参考价值的文章主要介绍了提高安全投资回报:威胁建模和OPEN FAIR™风险分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

提高安全投资回报:威胁建模和OPEN FAIR™风险分析,安全

对大多数人和企业来说,安全意味着一种成本。但重要的是如何获得适合的量,而不是越多越好。然而,你如何决定什么时候可以有足够的安全性,以及你如何获得它?则完全是另一回事。

该篇文章是由The Open Group安全论坛主办,微软和Kyndryl等企业的安全专家以及其他安全论坛成员领导完成,将描述威胁建模(Threat Modeling)与Open FAIR™风险分析的相关性。该系列文章共有4篇,主要围绕如何通过威胁建模和Open FAIR™风险分析提高安全投资回报。

我们生活在一个复杂、相互关联的世界里。它不断为我们提供新的机会,以及随之而来的新挑战。我们都熟悉“互联网”“社交媒体”和“物联网”等术语,我们正在用“生成人工智能(AIGC)”“量子”和“元宇宙”来扩展我们的词汇量。除了这些术语外,我们继续更加熟悉“安全”和“隐私”等不太令人愉快的话题。

安全被视为“做生意的成本”。如果你不这样做,你将受到损害,你将面临重大的经济损失,以及对声誉的损害。因此,您必须做任何需要做的事情来确保您的解决方案。然而,这不太可能是一种具有成本效益的方法。

提高安全投资回报:威胁建模和OPEN FAIR™风险分析,安全

所以,问题是:到底需要多少安全性就足够了?

安全控制不是免费的。他们每个人都有实施和运营成本。当你实施它们时,你会得到递减的回报,因为你实施的每个控制都会降低残余风险。在某一点上,您将获得低于下一次控制成本的剩余风险。这是你应该停止添加更多控件的时候,因为成本将超过你将获得的收益。

这些考虑因素有可能彻底改变我们未来保护资产的方式。它们暗示安全可能成为企业可用于控制其解决方案经济的另一种工具。我们可以从当前的现实,即组织盲目地将资源投入到建议和合规法规中,而不评估预期收益,转向新的现实,即他们批判性地思考组织需要什么,以便以正确的成本获得足够的安全性。在这个新的现实中,组织不再通过实施所有可用的安全工具来分散和浪费他们的时间、注意力和金钱。相反,他们将实施和操作安全控制的成本与恶意行为者在受到攻击时造成的估计损失进行比较。

为了实现这一目标,我们确定了两种不同的工具:威胁建模和OPEN FAIR™风险分析

威胁建模是一个过程,可以帮助您了解特定系统的安全威胁,确定这些威胁的潜在损失,并建立适当的缓解措施。威胁建模宣言提出了一个令人信服的理由:

当您执行威胁建模时,您开始识别系统中可能出现的问题。它还允许您确定需要缓解的设计和实施问题,无论是在系统的早期还是整个生命周期中。威胁模型的输出被称为威胁,它为您在后续设计、开发、测试和部署后阶段可能做出的决策提供信息。

换句话说,威胁建模允许您了解恶意行为者如何选择攻击您的系统,并确定您可以实施哪些控件来防止、检测和响应这些攻击。

威胁建模最终会产生一个控件列表,并解释了为什么您应该采用它们。然而,它并不能帮助您了解在更大的业务环境中应该采取什么行动(如果有的话)。您的解决方案可能已经足够强大,以至于攻击的潜在损失无法证明进一步投资实施增量安全控制是合理的。但你怎么确定呢?这就是Open FAIR风险分析的拯救之地。

Open FAIR™知识体系提供了一致的、经过行业测试的分类法和方法来量化因网络安全事件而造成的潜在损失。Open FAIR™风险分析侧重于识别和描述损失情景——从不良行为者(威胁代理)联系资产、努力妥协资产并导致组织因妥协(主要损失)而遭受可观察到的、可量化的损失,以及可能因“辐射”(二次损失)而导致额外损失的一系列事件。

提高安全投资回报:威胁建模和OPEN FAIR™风险分析,安全

根据威胁建模的建议,通过利用Open FAIR流程来分析不同控制组合的影响,组织可以有效地确定哪组控制对降低系统的风险最有效。更重要的是,组织可以通过考虑风险的总体降低以及实施这些控制的成本来决定给定系统的最佳控制集。这意味着组织现在可以根据与业务相关的客观数据做出业务决策。

呼吁

这篇博客文章是四个系列文章中的第一篇,将描述第一个将威胁建模与Open FAIR风险分析联系起来的项目。第二篇文章将向您展示如何将威胁建模与Open FAIR风险分析相结合,以评估系统的当前状态。在第三篇文章中,我们将讨论如何考虑控件来估计其效果并进行一些成本优化。这不仅有助于解决“多少安全就足够了?”的问题,还有助于解决更重要的问题——“我们应该怎么做?”第四篇文章将介绍使用这些概念来定义KPI的注意事项,以评估您的开发团队如何确保他们正在构建的解决方案。

  • 帖子2:评估当前风险

  • 帖子3:估计缓解的影响

  • 帖子4:威胁建模和开放公平风险分析作为敏捷项目的KPI文章来源地址https://www.toymoban.com/news/detail-841543.html

到了这里,关于提高安全投资回报:威胁建模和OPEN FAIR™风险分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 供应链安全和第三方风险管理:讨论如何应对供应链中的安全风险,以及评估和管理第三方合作伙伴可能带来的威胁

      在当今数字化时代,供应链的安全性越来越受到重视。企业的成功不仅仅依赖于产品和服务的质量,还取决于供应链中的安全性。然而,随着供应链越来越复杂,第三方合作伙伴的参与也带来了一系列安全风险。本文将探讨供应链安全和第三方风险管理的关键问题,并通过

    2024年02月12日
    浏览(44)
  • STRIDE 威胁建模:面向安全应用程序开发的威胁分析框架

    STRIDE 威胁模型由Microsoft 安全研究人员于 1999 年创建,是一种以 开发人员 为中心的威胁建模方法,通过此方法可 识别可能影响应用程序的威胁、攻击、漏洞,进而设计对应的缓解对策,以降低安全风险并满足公司的安全目标。 STRIDE为每一种威胁英文的首写字母,​​​​​

    2024年02月05日
    浏览(57)
  • 三、c++代码中的安全风险-open

    open: Check when opening files - can an attacker redirect it (via symlinks), force the opening of special file type (e.g., device files), move things around to create a race condition, control its ancestors, or change its contents? (CWE-362) 要模拟实现一个场景,涉及文件打开时的安全问题,比如通过符号链接重定向、强制打开特

    2024年04月13日
    浏览(29)
  • 网络安全系统中的守护者:如何借助威胁情报 (TI) 提高安全性

    在这篇哈巴尔网站上的推文中,我们将解释 TI 缩写背后的含义、为什么需要它、Positive Technologies   收集哪些网络威胁数据以及如何帮助企业预防网络威胁。我们将以四种情况为例,说明公司如何使用  PT Threat Intelligence Feeds  来发现恶意活动并预防攻击。 什么是 TI 当公司建

    2024年02月15日
    浏览(39)
  • 海上风电应急救援vr模拟安全培训提高企业风险防范能力

    相比传统的发电厂,海上风电作业积累的经验少,风险高,因此为了规范施工人员的行为和操作,保障生产安全进行,开展海上风电VR安全培训具有重要意义。 有助于提高员工的安全意识 通过模拟真实的海上风电作业环境,受训者可以更加直观地了解各种安全隐患和风险,从

    2024年02月06日
    浏览(41)
  • 2023MathorCup建模D题思路 - 航空安全风险分析和飞行技术评估问题

    D题 航空安全风险分析和飞行技术评估问题 飞行安全是民航运输业赖以生存和发展的基础。随着我国民航业的快速发展,针对飞行安全问题的研究显得越来越重要。2022 年 3 月 21 日,“3.21”空难的发生终结了中国民航安全飞行 1 亿零 59 万飞行小时的历史最好安全记录。严重

    2024年02月07日
    浏览(39)
  • 数据建模与区块链:利用区块链技术提高数据安全性

    作者:禅与计算机程序设计艺术 《13. \\\"数据建模与区块链:利用区块链技术提高数据安全性\\\"》 引言 1.1. 背景介绍 随着信息技术的迅速发展,数据规模日益增长,数据的重要性也日益凸显。数据建模是保证数据安全性和有效性的重要手段之一。传统的数据建模方法主要依赖于各

    2024年02月13日
    浏览(47)
  • 投资学U06 风险资产配置 习题笔记

    根据博迪投资学第九版课后习题完成的系列。每道题都有完整的步骤,附上推理过程和错误答案批驳,以辅助理解。市面上的笔记和视频都太乱,希望这份笔记能以数理严谨性帮到大家。 中英文习题都是一样的,部分数据中文版教材有修改,笔记会注明。供学习博迪投资学,

    2024年02月11日
    浏览(38)
  • 投资中的焦虑与恐惧:如何应对市场波动与风险?

    在投资过程中,市场波动和风险是难以避免的。然而,对于许多投资者来说,这种波动和风险往往会引发焦虑和恐惧情绪。在本文中,我们将探讨一些应对市场波动和风险的方法,帮助投资者保持冷静和理性,从而做出更好的投资决策。 1. 了解市场波动的本质:首先,投资者

    2024年02月12日
    浏览(49)
  • FantaVerse(梵塔世界)获国际风险基金 Draper Dragon投资

    2022 年 5 月 9 日至 10 日,FantaVerse(梵塔世界)的首席执行官 Henry Astley 先生受邀参加著名的Draper Associates CEO 峰会。并通过Draper Dragon的领先种子期投资加入了Draper Associates网络。 FantaVerse(梵塔世界)获国际风险基金 Draper Dragon投资 据悉,Draper Dragon Digital Fund旗下有两支专注于

    2024年02月11日
    浏览(74)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包