网络安全知识体系1.1风险管理和治理(八)安全度量

admin 2022年1月10日16:00:50云安全评论24 views1900字阅读6分20秒阅读模式

6.4 安全度量

安全度量是风险社区内一个长期存在争议的领域,因为对安全度量的价值存在争议。通常很难信心十足地量化一个组织的安全程度或可能的安全程度。在缺乏可信的定量数据的情况下,通常会使用定性表示法,如低、中、高或红、琥珀色、绿色,但通常会担心这些值是主观的,对不同的利益相关者意味着不同的事情。开放性问题包括:应对系统的哪些特征进行风险度量?,如何衡量风险?为什么要衡量风险呢?一些指标可能与风险级别有关,一些指标与系统性能有关,其他指标与服务提供或可靠性有关。

Jaquith提供了一些关于什么是好的和坏的度量的有用指针,以帮助选择适当的度量。

网络安全知识体系1.1风险管理和治理(八)安全度量


好的指标应该是:

     持续测量,无主观标准。
     收集成本低,最好是自动收集。
   以基数或百分比表示,不使用“高”、“中”和“低”等定性标签。
     至少使用一个度量单位表示,如“缺陷”、“小时”或“美元”。
    上下文特定且与决策者相关,使他们能够采取行动。如果对指标的反应是耸耸肩和“那又怎样?”,不值得收集。

坏的指标应该是:

    测量结果不一致,通常是因为它们依赖于人与人之间的主观判断。
    不能像劳动密集型调查和一次性数据表那样,以低廉的成本收集数据。
    不要用基数和度量单位表示结果。相反,它们依赖于定性的高/中/低评级、交通灯和字母等级。

Jaquith的书中提供了关于选择指标选项的更广泛讨论以及案例研究。赫尔曼的作品基于法规遵从性、弹性和投资回报率,提供更务实的观点。有一些指标可以在医疗保健、隐私和国家安全等领域提供实用性。度量的观点基于这样一种理解,即我们不可能完全安全,因此根据必要的安全性度量实际安全性可以说是一种防御方法,并且所描述的度量是针对度量漏洞管理的有效性而定制的。从本质上讲,是否有可能根据所识别的威胁量化风险管理计划和相关控制措施是否适合目的,并且这些指标是否提供了这些控制措施适当的证据?此外,实施的控制措施是否有可能使其产生的节约比实施成本增加更多的价值?这一点在当前人工智能技术在国际上广泛推广以保护数字基础设施的时代尤为重要。鉴于潜在的节约,对此类安全机制的实际附加值和此类解决方案的成本效益的循证理解存在着巨大的价格标签,这是一个问号。

琼斯和阿森登采用面向参与者的安全度量方法,提供一系列基于定性和定量混合方法对威胁进行排序的场景。例如,民族国家的威胁是以人口、识字率和文化因素等指标为基础的;恐怖主义集团的技术专长、教育水平和活动历史;压力团体根据成员分布、活动家人数和资金情况进行排名。该框架提供了一个视角,说明了如何在信息中获取威胁度量,从而支持以信息为基础的、以情报为导向的、以文化为基础的风险评估。

然而,据报道,“像攻击者一样思考”或剖析对手的方法甚至在民族国家层面上都失败了(需要大量投资和情报)。在与奥巴马总统的一篇文章中,他谈到了美国风险管理的复杂性和失败t他指出,美国分析团队低估了袭击者的形象(特别是社会文化方面),这导致了风险管理的失败。假设对手的知识可能非常危险,但分析可能的威胁和攻击的指标(同时明确接受我们的知识限制)可作为威胁建模方法的一部分,例如 STRIDE或攻击树。肖斯塔克(本书作者)) 讨论在博客文章中分析攻击者的局限性。

虽然以这种方式构建的定量指标似乎比定性指标更可取,但手动或自动收集一致测量数据并不总是一个简单的过程。这让我们回到了在风险评估阶段沟通和商定共同语言的问题上。虽然度量可能在可访问性和一致性收集方面受到限制,但商定定性标签的上限和下限或特定含义也为通过定义良好的链接测量系统的安全性提供了一定程度的价值 威胁及其与脆弱性和影响之间的关系。

网络安全知识体系1.1简介(一)网络安全定义

网络安全知识体系1.1简介(二)知识域

网络安全知识体系1.1简介(三)解决安全问题

网络安全知识体系1.1简介(四)原则

网络安全知识体系1.1简介(五)跨学科主题

网络安全知识体系1.1风险管理和治理(一)什么是风险? 

网络安全知识体系1.1风险管理和治理(二)什么风险评估和管理及其重要性

网络安全知识体系1.1风险管理和治理(三)风险治理及其重要性

网络安全知识体系1.1风险管理和治理(四)风险评估和管理原则

网络安全知识体系1.1风险管理和治理(五)风险评估与管理方法(上)

网络安全知识体系1.1风险管理和治理(五)风险评估与管理方法(下)

网络安全知识体系1.1风险管理和治理(六)脆弱性管理
网络安全知识体系1.1风险管理和治理(七)风险评估和管理

原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1风险管理和治理(八)安全度量

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月10日16:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全知识体系1.1风险管理和治理(八)安全度量 http://cn-sec.com/archives/731320.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: