来自 DDOS 2021-06-10 22:09 的文章

ddos防攻击_高仿鞋在哪买_零误杀

ddos防攻击_高仿鞋在哪买_零误杀

ImmuniWeb>安全博客如何计算投资回报率并证明您的网络安全预算合理2.0k 189 14 12 17更多13 10 10 2015年12月16日星期三,Ilia Kolochenko为CSO撰写阅读时间:4分钟。如果您与管理层谈论钱的问题-说出他们的语言,您一定会得到您想要的需要。差不多八年前,bruceschneier写了一篇关于组织内部网络安全开支的ROI计算问题的文章。从那时起,网络安全方面的年度开支和全球网络犯罪的成本都大幅增加。尽管公司在2016年将其信息安全预算增加了24%,海外高防棋牌cdn,但许多安全官员仍必须向其管理层证明在网络安全上每多花1000美元。传统上,欧洲比美国更保守,更多的欧洲安全官员被要求通过删除一些项目或用更便宜的替代品来减少最初的网络安全预算。企业需要赚钱才能支付薪水(包括网络安全团队的薪水),因此他们的观点,主要基于财务数字,ddos攻击的最佳防御点,是相当明确和合理的。然而,如果你用管理层能理解的术语和语言为你的网络安全预算准备一个解释充分的理由,你不经修改就获得预算批准的机会至少会增加一倍。例如,让我们以保护一个中型电子商务网站前端所需的预算为例。简单地说,我们不会计算连锁攻击的风险,比如最近在易受攻击的网站上出现的高级持续威胁。我们将根据直接财务损失预防来计算投资回报率:如果你花10美元就可以避免每年100美元的损失,那么你的管理层会很乐意分配这10美元。通常,问题是要证明你真的需要10美元(而不仅仅是7美元或8美元),10美元减少的风险确实会给公司造成100美元的直接损失。首先,我们需要计算ALE(年度损失预期值):由特定风险和威胁(如果没有适当减轻)造成的预期[近似]财务损失。我们将使用CISSP®-ISSMP®官方指南中的简化ALE公式:ALE=(每年发生的事件数)X(每次事件的潜在损失)在我们的案例中,每年的事件数可以合理地设置为12次,预计每个月会有一次通过web前端的严重入侵尝试。显然,我们可以把预算做得更大,但别忘了,我们正在为管理层准备预算,如果你给他们提供的数字看起来有些夸张,他们会怀疑的。每次事故的潜在经济损失有点棘手,因为它由许多因素和子因素组成。网络威胁现在将影响穆迪的评级,但这是一个非常主观的影响,因为几乎不可能预测特定数据泄露是否会影响评级。同样的困难也适用于声誉损失、股票期权下跌以及与数据泄露相关的所有其他重大损失。因此,防御cc攻击软件,我们应尽量从信誉良好的来源获取本行业每次违约的平均成本。例如,根据卡巴斯基实验室最近的一项研究,中小企业遭受的财务损失平均为3.8万美元。在某些情况下,管理层可能会质疑如此"巨大"的金额,因此,我们需要将有形和不可避免的事故成本逐一提交给管理层,ddos防御腾讯,以确认金额。在电子商务web前端的情况下,至少可以很容易地确定其中的一些:客户数据库和其他敏感信息被盗的成本,取证期间电子商务门户不可用的暴露成本,以及分配给调查和补救法律和合规罚款违规行为的第三方专家的恢复成本。明显且易于计算的成本与PCI-DSS合规性有关。例如,如果您拥有PCI商户等级2,您将被"提升"至1级,以防数据泄露,并承担所有相关费用。与第三方顾问相关的成本也很容易计算,估计他们至少要花一周的时间调查这起事件——你已经有至少1万美元了。例如,TalkTalk(由于业务规模和黑客攻击的规模)总共损失了大约3500万英镑,相比之下,3.8万美元显得非常合理。英国政府和普华永道(PwC)发布的2015年信息安全漏洞调查显示,中小企业数据泄露的平均成本在7.5万至31.08万英镑之间(分别为11.2万美元和46.62万美元)。但是,让我们回到我们的例子中的38000美元,并在我们的等式中使用它:ALE=(每年的事件数)X(每次事件的潜在损失)ALE=12 X 38000美元ALE=456000美元这是一家公司如果不采取任何措施保护其网络前端,每年应该损失的金额。当然,每一个新的事件都会加剧损失,但这里我们可以省略这一点。下一步是证明你要的钱是合理的。最简单的方法就是为您的管理层提供最有效的解决方案和产品,并根据价格/质量比进行仔细选择。为了保护web前端(我省略了SDLC和与安全开发、维护和法规遵从性相关的所有其他成本),我们通常需要:web应用程序防火墙-尽管WAF无法抵御复杂的攻击,但它是抵御机器人程序和其他恶意"噪音"的绝佳保护层,自动攻击和脚本孩子。持续漏洞扫描和安全监控解决方案-今天安全的东西今晚可能会变得脆弱,而年度渗透测试将无法及时检测到。因此,持续的安全监控是非常重要的。有第三方专家参与的常规手工或混合评估——一个很好的例子是Zen Cart中的关键RCE,最近由High Tech Bridge在这个流行的电子商务平台的最新版本中检测到。该漏洞仅在最新版本中存在,在我们发现之前,任何自动扫描仪都未检测到该漏洞。估计a)+b)+c)将是每年40000美元,我们可以回到我们的等式并计算投资回报率。我们将采用CISSP®-ISSMP®官方指南中的ROI公式:ROI=(ALE/对策成本)×100%ROI=($456000/$40000)×100%ROI=1140%,即使从纯技术角度来看,如此巨大的ROI可能是主观的,它肯定会让你的管理层信服,ddos防御云,而不是一个关于盲目XSS攻击危险性的长篇大论。普华永道瑞士分公司(PwC Switzerland)的网络安全专家罗伯特·梅特卡夫(Robert Metcalf)表示:"网络安全涉及风险管理和损失预防,而不仅仅是收益,因此任何安全投资都需要向企业证明,它专注于捍卫对组织最有价值的东西,即其"皇冠宝石"。这些关键资产如何成为威胁参与者的目标,可以有力地表明你必须投资最多的地方,以及你的商业声誉也受到威胁。"如果你与管理层谈论金钱问题,说出他们的语言,你一定会得到你需要的。函数getSelectionHtml(){var html="";if(typeof窗口.getSelection!="未定义"){var sel=窗口.getSelection();如果(选择范围计数){var容器=文档.createElement("div");对于(var i=0,len=选择范围计数;i