提高安全投资回报:威胁建模和OPEN FAIR™风险分析

对大多数人和企业来说,安全意味着一种成本。但重要的是如何获得适合的量,而不是越多越好。然而,你如何决定什么时候可以有足够的安全性,以及你如何获得它?则完全是另一回事。

该篇文章是由The Open Group安全论坛主办,微软和Kyndryl等企业的安全专家以及其他安全论坛成员领导完成,将描述威胁建模(Threat Modeling)与Open FAIR™风险分析的相关性。该系列文章共有4篇,主要围绕如何通过威胁建模和Open FAIR™风险分析提高安全投资回报。

我们生活在一个复杂、相互关联的世界里。它不断为我们提供新的机会,以及随之而来的新挑战。我们都熟悉“互联网”“社交媒体”和“物联网”等术语,我们正在用“生成人工智能(AIGC)”“量子”和“元宇宙”来扩展我们的词汇量。除了这些术语外,我们继续更加熟悉“安全”和“隐私”等不太令人愉快的话题。

安全被视为“做生意的成本”。如果你不这样做,你将受到损害,你将面临重大的经济损失,以及对声誉的损害。因此,您必须做任何需要做的事情来确保您的解决方案。然而,这不太可能是一种具有成本效益的方法。

所以,问题是:到底需要多少安全性就足够了?

安全控制不是免费的。他们每个人都有实施和运营成本。当你实施它们时,你会得到递减的回报,因为你实施的每个控制都会降低残余风险。在某一点上,您将获得低于下一次控制成本的剩余风险。这是你应该停止添加更多控件的时候,因为成本将超过你将获得的收益。

这些考虑因素有可能彻底改变我们未来保护资产的方式。它们暗示安全可能成为企业可用于控制其解决方案经济的另一种工具。我们可以从当前的现实,即组织盲目地将资源投入到建议和合规法规中,而不评估预期收益,转向新的现实,即他们批判性地思考组织需要什么,以便以正确的成本获得足够的安全性。在这个新的现实中,组织不再通过实施所有可用的安全工具来分散和浪费他们的时间、注意力和金钱。相反,他们将实施和操作安全控制的成本与恶意行为者在受到攻击时造成的估计损失进行比较。

为了实现这一目标,我们确定了两种不同的工具:威胁建模和OPEN FAIR™风险分析

威胁建模是一个过程,可以帮助您了解特定系统的安全威胁,确定这些威胁的潜在损失,并建立适当的缓解措施。威胁建模宣言提出了一个令人信服的理由:

当您执行威胁建模时,您开始识别系统中可能出现的问题。它还允许您确定需要缓解的设计和实施问题,无论是在系统的早期还是整个生命周期中。威胁模型的输出被称为威胁,它为您在后续设计、开发、测试和部署后阶段可能做出的决策提供信息。

换句话说,威胁建模允许您了解恶意行为者如何选择攻击您的系统,并确定您可以实施哪些控件来防止、检测和响应这些攻击。

威胁建模最终会产生一个控件列表,并解释了为什么您应该采用它们。然而,它并不能帮助您了解在更大的业务环境中应该采取什么行动(如果有的话)。您的解决方案可能已经足够强大,以至于攻击的潜在损失无法证明进一步投资实施增量安全控制是合理的。但你怎么确定呢?这就是Open FAIR风险分析的拯救之地。

Open FAIR™知识体系提供了一致的、经过行业测试的分类法和方法来量化因网络安全事件而造成的潜在损失。Open FAIR™风险分析侧重于识别和描述损失情景——从不良行为者(威胁代理)联系资产、努力妥协资产并导致组织因妥协(主要损失)而遭受可观察到的、可量化的损失,以及可能因“辐射”(二次损失)而导致额外损失的一系列事件。

根据威胁建模的建议,通过利用Open FAIR流程来分析不同控制组合的影响,组织可以有效地确定哪组控制对降低系统的风险最有效。更重要的是,组织可以通过考虑风险的总体降低以及实施这些控制的成本来决定给定系统的最佳控制集。这意味着组织现在可以根据与业务相关的客观数据做出业务决策。

呼吁

这篇博客文章是四个系列文章中的第一篇,将描述第一个将威胁建模与Open FAIR风险分析联系起来的项目。第二篇文章将向您展示如何将威胁建模与Open FAIR风险分析相结合,以评估系统的当前状态。在第三篇文章中,我们将讨论如何考虑控件来估计其效果并进行一些成本优化。这不仅有助于解决“多少安全就足够了?”的问题,还有助于解决更重要的问题——“我们应该怎么做?”第四篇文章将介绍使用这些概念来定义KPI的注意事项,以评估您的开发团队如何确保他们正在构建的解决方案。

  • 帖子2:评估当前风险

  • 帖子3:估计缓解的影响

  • 帖子4:威胁建模和开放公平风险分析作为敏捷项目的KPI

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/463630.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【PyTorch】进阶学习:一文详细介绍 load_state_dict() 的应用场景、实战代码示例

【PyTorch】进阶学习:一文详细介绍 load_state_dict() 的应用场景、实战代码示例 🌈 个人主页:高斯小哥 🔥 高质量专栏:Matplotlib之旅:零基础精通数据可视化、Python基础【高质量合集】、PyTorch零基础入…

vb.net+zxing.net随机彩色二维码、条形码

需要zxing库支持ZXing.NET Generate QR Code & Barcode in C# Alternatives | IronBarcode 效果图: 思路:先生成1个单位的二维码,然后再通过像素填充颜色,颜色数组要通过洗牌算法 洗牌算法 Dim shuffledCards As New List(…

C#控制台贪吃蛇

Console.Write("");// 第一次生成食物位置 // 随机生成一个食物的位置 // 食物生成完成后判断食物生成的位置与现在的蛇的身体或者障碍物有冲突 // 食物的位置与蛇的身体或者障碍物冲突了,那么一直重新生成食物,直到生成不冲突…

GenAI开源公司汇总

主要分类如下: 1. 基础模型:这些是机器学习和AI的核心模型提供商,它们提供基础的算法和技术支持。 2. 模型部署与推断:提供云服务和计算资源,帮助用户部署和运行AI模型。 3. 开发者工具:支持AI/ML的开发…

【网络原理】TCP 协议中比较重要的一些特性(三)

目录 1、拥塞控制 2、延时应答 3、捎带应答 4、面向字节流 5、异常情况处理 5.1、其中一方出现了进程崩溃 5.2、其中一方出现关机(正常流程的关机) 5.3、其中一方出现断电(直接拔电源,也是关机,更突然的关机&am…

拜占庭将军问题相关问题

1、拜占庭将军问题基本描述 问题 当我们讨论区块链共识时,为什么会讨论拜占庭将军问题? 区块链网络的本质是一个分布式系统,在存在恶意节点的情况下,希望 整个系统当中的善良节点能够对于重要的信息达成一致,这个机…

Python语言基础与应用-北京大学-陈斌-P40-39-基本扩展模块/上机练习:计时和文件处理-给算法计时-上机代码

Python语言基础与应用-北京大学-陈斌-P40-39-基本扩展模块/上机练习:计时和文件处理-给算法计时-上机代码 上机代码: # 基本扩展模块训练 给算法计时 def factorial(number): # 自定义一个计算阶乘的函数i 1result 1 # 变量 result 用来存储每个数的阶…

第十三篇:复习Java面向对象

文章目录 一、面向对象的概念二、类和对象1. 如何定义/使用类2. 定义类的补充注意事项 三、面向对象三大特征1. 封装2. 继承2.1 例子2.2 继承类型2.3 继承的特性2.4 继承中的关键字2.4.1 extend2.4.2 implements2.4.3 super/this2.4.4 final 3. 多态4. 抽象类4.1 抽象类4.2 抽象…

微信小程序关闭首页广告

由于之前微信小程序默认开启了首页广告位。导致很多老人误入广告页的内容,所以想着怎么屏蔽广告。好家伙,搜索一圈,要么是用户版本的屏蔽广告,或者是以下一个模棱两可的答案,要开发者设置一下什么参数的,如…

ZK vs FHE

1. 引言 近期ZAMA获得7300万美金的投资,使得FHE获得更多关注。FHE仍处于萌芽阶段,是未来隐私游戏规则的改变者。FHE需与ZK和MPC一起结合,以发挥最大效用。如: Threshold FHE:将FHE与MPC结合,实现信任最小…

Kafka MQ 生产者

Kafka MQ 生产者 生产者概览 尽管生产者 API 使用起来很简单,但消息的发送过程还是有点复杂的。图 3-1 展示了向 Kafka 发送消息的主要步骤。 我们从创建一个 ProducerRecord 对象开始,ProducerRecord 对象需要包含目标主题和要发送的内容。我们还可以…

Python基础(七)之数值类型集合

Python基础(七)之数值类型集合 1、简介 集合,英文set。 集合(set)是由一个或多个元素组成,是一个无序且不可重复的序列。 集合(set)只存储不可变的数据类型,如Number、…

高德 Android 地图SDK 去除logo

问题 高德 Android 地图SDK 去除logo 详细问题 笔者进行Android 项目开发,接入高德地图SDK。但是默认在地图左下角有高德地图logo,现需要去除该logo 期望效果 解决方案 import com.amap.api.maps.UiSettings; UiSettings settingsmMapView.getMap(…

CSS-DAY3

CSS-DAY3 2024/2/7 盒子模型 页面布局要学习三大核心, 盒子模型, 浮动 和 定位. 学习好盒子模型能非常好的帮助我们布局页面 1.1 看透网页布局的本质 网页布局过程: 先准备好相关的网页元素,网页元素基本都是盒子 Box 。利用 CSS 设置好盒子样式&a…

c++之旅第七弹——继承

大家好啊,这里是c之旅第七弹,跟随我的步伐来开始这一篇的学习吧! 如果有知识性错误,欢迎各位指正!!一起加油!! 创作不易,希望大家多多支持哦! 一.继承和派生…

夜间8点到12点能干点啥副业?

们放松和追求个人兴趣的时候,也是一段时间可以用来开展副业的机会。以下是一些适合晚上从事的副业的建议。 1.【千金宝库】软件做任务赚钱 【千金宝库】任务平台是为那些没有资源和人脉的人准备的。它非常适合那些没有时间限制、没有门槛的学生,平时玩…

以太网传输图片工程出现的问题总结(含源码)

本文对以太网传输图片的工程曾经出现过的问题及解决思路进行整理,便于日后出现类似问题能够快速处理。也指出为什么前文在FIFO IP设计时为啥强调深度的重要性。 1、问题 当工程综合完毕之后,下载到板子,连接以太网口,相关硬件如下…

0G联合创始人MICHAEL HEINRICH确认出席Hack.Summit() 2024区块链开发者大会

随着区块链技术的不断发展和应用,全球开发者瞩目的Hack.Summit() 2024区块链开发者大会即将于2024年4月9日至10日在香港数码港盛大举行。此次大会由Hack VC主办,并得到AltLayer和Berachain的协办,同时汇聚了Solana、The Graph、Blockchain Ac…

Vue | 使用 ECharts 绘制折线图

目录 一、安装和引入 ECharts 二、使用 ECharts 2.1 新增 div 盒子 2.2 编写画图函数 2.3 完整代码结构 三、各种小问题 3.1 函数调用问题 3.2 数据格式问题 3.3 坐标轴标签问题 3.4 间隔显示标签 参考博客:Vue —— ECharts实现折线图 本文是在上…

jvm 内存泄露、内存溢出、栈溢出区别

JVM(Java虚拟机)是负责执行Java程序的运行环境。以下是对内存泄露、内存溢出和栈溢出这几个概念的解释: 内存泄露(Memory Leak): 内存泄露指的是程序中分配的内存空间在不再被使用时没有被释放的情况。这可…