量化安全风险、威胁和漏洞的方法

通常，风险趋势很难量化。在我讨论大量可以量化的事物之前，理解一些风险的知识非常重要，特别是在安全环境中。我在TruSecure(现在的CyberTrust)公司工作的时候，CTO Peter Tippett通过简单等式定义风险。

风险 = 威胁 x 漏洞 x 成本

威胁是常见的不利事件。漏洞是成功攻击的可能性，而成本是成功攻击的整体经济影响。很多人都有不同的方式来量化风险，例如，投资人、精算师和安全专家都有不同的观点，但是这种定义对我这样的领导者老说足够简单，所以我们就用这个吧。

你需要量化你的安全环境(哪些是威胁和漏洞)，然后计算风险暴露的成本。实际上，你可以多花点时间构建一个复杂的博士级别的模式，但是仍然会出错。基本上，你是根据顶级的假设再作假设。

开始，指出重要的部分，关注成本。哪些业务系统对公司最重要?谁在使用?他们的时间价值如何?一旦你对最重要的系统有了了解，然后就可以指出对这些系统最可能的威胁。他们容易受到跨站脚本攻击吗?还是强力拒绝服务攻击?使用这些发现来开发一个现实的评估系统，评估如果这些攻击成功了，可以造成关键系统宕机的可能性。

我喜欢简单化，而且我建议大家也采用一种高质量的方式来量化安全相关的一切。我在我的书《求真务实的CSO》(The Pragmatic CSO)中都涵盖了这些，但是这里提供一个删节版。

基本上，如果采用新流程或者安全新产品有作用就要尝试建立，并指出具体的产品会影响哪些节点。安装一个Web应用防火墙可以减少关键应用上的XSS攻击的可能性吗?如果是，可以达到什么程度?猜测一下。这样会影响攻击的频率吗?(不。唯一的方法是让系统离线，这样那些数字才会保持不变。)这种方法将会允许你把不同的观点惊醒公平的对比，而且指出哪种减轻的风险程度最高。

网关需要与时俱进，才能适应21世纪的IT环境。网关不应只执行简单的监控特定端点、IP地址或者每个地址进出的数据流，而是应该能够详细地检测更为具体的用户与应用程序活动。

实际上，通过对数据包的分析，防火墙在过往17年已经可以监控使用中的应用程序，现今的挑战是在于增强防火墙功能，使它能更深入探究通过网关的网络数据流量，确认哪些才是真正地正在运行的应用程序，并追踪出那些正在使用它们的用户。在企业内部细致掌握应用程序的动态，以及更准确的用户可视性是必需的，以便识别及管理各种副应用程序，根据真实的个人用户与业务需求，量身定做网络应用程序使用。

我不是特别系统简单的计算数量。我描述的这种分类方法可以让你衡量某些决定，只是通过使用重要的方法：关键业务系统的风险。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。