来自 网络 2021-06-11 02:12 的文章

防ddos攻击_高防vps_免费测试

防ddos攻击_高防vps_免费测试

技术风险的量化方法 本文作者:Eric Vanderburg(TCDI网络安全副总裁)、Koushik Subramanian(UI实验室CISO和DMDII制造网络安全总监)、Vito Sardanopoli(Vantage CyberRisk Partners,LLC)负责人和所有者、Martin Mazor(娱乐合作伙伴高级副总裁兼CISO),以及Makesha Caldwell(信息安全经理、独立顾问)评估业务风险,并根据风险做出经营决策,是高级管理层的传统职能。然而,ddos防御软件免费,在数字商业时代,技术风险日益成为商业风险讨论的主导因素。一个迹象是,高管和董事会成员花在讨论网络风险上的时间太长。许多企业正在将网络风险管理从IT部门转移到整个企业风险管理(ERM)组。无论谁负责管理业务风险的IT部分,网络风险仍然是技术解决方案的技术问题。要管理它,必须识别漏洞,从业务角度理解其影响,并就风险缓解做出决策。这涉及到用商业决策者理解的术语来量化网络风险。但是,如何以对运营经理和决策者有意义的方式量化技术风险呢?大多数网络风险分析师使用两个基本工具:一个或多个网络安全框架,以及与这些框架相关的指标。有许多框架可供选择,如何增强cc防御,还有许多工具可以帮助风险评分。通用框架包括开放式Web应用程序安全项目(OWASP);各种国家标准和技术研究所(NIST)和国际标准化组织(ISO)标准;通用漏洞评分系统(CVSS),提供漏洞风险度量标准;信息风险因素分析(FAIR),这需要更多的业务影响方法来进行漏洞评分。大西洋卫生系统的首席信息安全官Vito Sardanopoli解释了他的方法我已经成功地应用了COBIT(来自ISACA)和IT Score(来自Gartner)的框架,以帮助根据我们安全计划的当前能力来制定总体风险评分。这有助于我们确定与我们的安全计划和整个企业相关的风险,并确定其优先级。我们还发现,kpa高防cdn,BitSight等安全风险评分工具也很有用。虽然这些工具并不完全全面,但它们确实根据组织面临的实际网络风险因素计算出有意义的分数。它们还为我们提供了一种方法,以确定我们组织的风险与行业内和行业外的其他组织相比如何。"UI LABS的CISO兼制造网络安全总监Koushik Subramanian使用了他所在组织帮助开发的专用工具。"他说:"数字制造与设计创新研究所(DMDII)与赛博点(Cyberpoint)合作开发了一款名为CyVAR的工具。"CyVar对攻击进行建模,计算企业的总体价值,并提供一个清晰的优先级列表,列出组织可以从哪些方面获得最佳回报。目前,它已映射到NIST 800-171框架,但该工具适用于其他流行框架,如NIST CSF制造概况和ISO 27001。"信息安全顾问Makesha Caldwell支持FAIR方法论,他说FAIR提供了一种定量方法,有助于达成合理的风险缓解决策,以实现组织的总体战略目标。需要将网络安全与更广泛的商业战略相结合是一个重要的考虑因素。Entertainment Partners的高级副总裁兼CISO Martin Mazor指出,对网络风险进行评分的重要性不仅在于优化安全程序,而且要真正将其视为企业整体风险的一部分。""我们使用一种混合方法来定义和评分网络风险,"他说我们使用信息风险因子分析[FAIR]和能力成熟度模型集成[CMMI]中的关键原则。使用这两个框架的目的是定义真正的公司风险和价值,以及我们的主要执行官和董事会可以很容易理解的衡量模型来衡量其他业务部门。如果我们仅仅使用网络风险评分,那么在与其他业务功能进行比较时,信息往往会丢失。通过将两者结合起来,我们能够识别真正的风险以及安全计划的总体成熟度和业务目标。"TCDI网络安全副总裁埃里克·范德伯格(Eric Vanderburg)对此表示赞同,他表示,防御cc攻击软件,风险评分必须着眼于更广泛的业务影响,并考虑整个组织的依赖性。它还应该使用简单的指标。""业务影响评估(BIA)是量化网络风险及其对业务影响的地方,"他解释道因此,BIA采取了一种非常面向业务的观点,从有形的业务元素开始,比如资产和业务流程。然后,公司会对这些流程和资产进行影响评级。它们可以是低、中、高评级,ddos本地防御,也可以是有限制的范围,如10分制。我建议使用数字刻度,因为这样更容易合并和汇总评分。然后绘制依赖关系,以便组织能够识别特定区域中中断的影响。例如,如果客户服务门户的数据库服务器不可用,这将影响门户和所有门户流程,以及与门户接口的流程,如票务系统的元素、服务指标等。现在,可以将对业务的威胁映射到它们所针对的业务元素,以确定业务影响。"其目标是量化网络风险,以便将其视为另一种形式的商业风险。为了使网络风险度量对业务风险讨论做出有用的贡献,这些度量必须对业务环境中的业务决策者和运营经理有意义。要点:为了管理网络风险,必须识别漏洞,从商业角度理解其影响,并就风险缓解做出决策。这涉及到用商业决策者理解的术语量化网络风险。大多数网络风险分析师使用两个基本工具:一个或多个网络安全框架,以及与这些框架相关的指标。