来自 资讯 2021-06-11 02:16 的文章

香港高防服务器_棋牌游戏盾_快速解决

香港高防服务器_棋牌游戏盾_快速解决

文章作者:Nir Yizhak(CISO&DPO,Gigya)和Antonio D'Argenio(技术数据公司安全架构师)识别和量化网络风险对于有效的风险优先级至关重要。风险评分不仅有助于更快地识别和减轻严重的漏洞,而且在安全应用程序开发中也发挥着重要作用。随着IT环境和网络攻击面变得越来越复杂(跨网络、数据库、应用程序、物联网设备、容器等),风险评分已成为优先考虑有限安全资源以实现最大安全效益的重要方法。当你制定网络威胁风险评分时,你实际衡量的是什么?Gigya的CISO和DPO Nir Yizhak这样解释:"我们衡量特定风险的可能性和潜在影响,以及相关的风险类别,ddos防御怎么关,如治理风险、技术风险、财务风险和目标系统分类。例如,同一个威胁的计算方法会有所不同,这取决于它是针对保存敏感信息的生产系统,还是针对持有虚假数据的开发系统。在确定运营任务的优先级时(在某些情况下可能每天都会发生),以及在向高级管理层报告风险状态时,我们使用风险评分。"风险评分的一个挑战是在特定商业案例的背景下量化网络风险。例如,在确定"潜在影响"方面可以做很多工作。Tech Data Corporation的网络安全架构师Antonio D'Argenio说,"你必须从安全的角度来看待影响业务的许多因素。"除了技术问题,这些因素还包括数据泄露可能引起的法律问题。D'Argenio解释说,"由于泄露数据的性质,任何敏感信息的丢失都可能涉及法律问题。在许多情况下,由于缺乏足够的数据保护,该公司将面临费用和罚款。"数据丢失不仅会损害企业运营,还会损害品牌,这不仅会影响客户的信心,ddos防御分类,还会影响企业融资的能力。"投资者可能会因为风险管理不充分而决定不支持公司。"有效的风险评分包括考虑所有这些因素。已经设计了几个框架来帮助企业对其网络风险进行建模和评分(除了一些现成的商业工具)。以下是一些更广泛使用的选项:ISO 31000:2018标准。国际标准化组织(ISO)于2009年创建并发布了这套风险管理标准,并于2018年对其进行了更新。标准包括创造和保护价值的原则。ISO 31000:2018是一种全面的风险管理方法,风险评分是其中的一部分;与大多数方法和框架一样,它必须适应特定的商业案例。通用漏洞评分系统(CVSS)。CVSS是一个定义和评级软件的框架,高防打不死cdn,它关注一些因素,如设计指标,以指示利用漏洞的难度以及一旦发生攻击系统的严重程度。CVSS计算可能很复杂。CVSS不考虑与特定软件漏洞无关的网络风险,也不考虑总体业务影响。恐惧。此威胁建模框架旨在使用更简单、更定性的评分模型,该模型侧重于损害、再现性、可利用性、受影响用户和可发现性。与CVSS一样,它关注的是对系统的物理威胁,防御ddos产品,而不是业务影响。大步走。威胁建模的欺骗、篡改、拒绝、信息披露、拒绝服务和特权提升(STRIDE)方法更多地关注威胁的类型,而不是漏洞的质量。斯特里德试图从更广阔的视角看待系统中可能出问题的所有事情。信息风险因素分析(公平)。该风险评估框架侧重于资产损失和可能导致此类损失的威胁类型。许多人认为这是一种通过补充业务风险评估来增强系统风险分析的公平方法。还有许多其他的风险建模和评分框架,cc防御华为,其中一些是为特定行业和商业模式量身定制的。正如D'Argenio指出的,"没有一个适合所有公司的框架来评估针对业务的风险。一般来说,CISO或CIO必须评估几个因素之间的正确平衡。"这些因素包括:资产。"你需要对你所保护的资产有一个清晰而完整的愿景这些资产包括IT系统、物理位置、人员、交通工具等重大资产,以及信息、流程、过程和策略等非物质资产。"如果您拥有与每项资产相关的业务关键性相一致的排名,那么这一点可能很有价值。恢复力。这是指当攻击发生时,你的防线能在你的资产受到损害之前保护多久。NIO说,当攻击发生时,快速反应是关键。有效性。你的决定和行动在保护你的资产方面有多有效?当攻击发生时,需要许多技能才能做出正确的反应。拥有支持安全团队和IT团队之间协作的工具可以在时间非常重要的情况下实现快速通信。异常现象。你所看到的是一个持续的环境威胁因素。D'Argenio指出,恶意活动在不断变化,企业必须考虑其应对这些不断变化的威胁的流程和技能。确保以一致的节奏扫描所有IT资产将帮助您快速识别这些异常,并在需要时进行纠正。通过关注运营环境的这些基本要素,您将能够调整和定制一个框架,以便在您的业务及其安全需求的背景下对网络风险进行建模和评分。要点:数据丢失会使企业面临补救成本、法律问题、费用和罚款、业务运营受损和品牌受损。这不仅会影响客户的信心,还会影响企业融资的能力。没有一个适合所有公司的框架来评估企业的风险。