1.1 风险、威胁和缓解措施

admin 2024年6月11日14:06:04评论4 views字数 1995阅读6分39秒阅读模式

0x00 前言

风险与威胁有什么区别?缓解措施和它们又有什么关系呢?在对容器进行威胁建模之前,我们先简单说明一下风险、威胁及缓解措施的基本概念。

0x01 定义

首先,我们来看一下定义:

  • 风险(Risk):潜在的问题,以及如果问题发生会造成的影响。
  • 威胁(Threat):导致风险发生的途径。
  • 缓解措施(Mitigation):对威胁的应对措施,即:你可以采取的用来防止威胁或至少降低其成功的可能性。
1.1 风险、威胁和缓解措施
图1:风险、威胁和缓解措施之间的关系

假设一个情景:有人从你家偷走了车钥匙。那么:

  • 风险(Risk):你的车可能会被开走。
  • 威胁(Threat):偷取钥匙的不同的方式,例如:打破窗户伸手拿;用鱼竿将它钓走;敲门分散你的注意力,同时帮凶迅速溜进家中拿走钥匙。
  • 缓解措施(Mitigation):让车钥匙不要离开你的视线。
1.1 风险、威胁和缓解措施
图2:若车钥匙被偷走了,其风险、威胁和缓解措施所对应的事项

0x02 风险之间的差异

风险因组织而异

  • 对于银行而言,风险是资金被盗取;
  • 对于电商而言,风险是交易被欺诈;
  • 对于经营博客的个人开发者而言,风险是别人入侵他们的网站并且发布不当言论。

风险不仅因国家之间的隐私法规不同而不同,还因地理位置不同而不同

  • 在许多国家,泄露客户个人数据仅会损害声誉,
  • 而在欧洲,通用数据保护条例(General Data Protection Regulation ,GDPR)[1]允许的罚款高达公司总收入的4%[2]
1.1 风险、威胁和缓解措施
图3:维基百科上对于 通用数据保护条例**的介绍

2019年7月,CSO统计了因数据泄漏或不遵守安全法而处以的最高罚款的事件,截止至2024年4月26日共有15起,这份名单[3]会随着相关处罚的新闻出现而持续更新。

表1:全球 Top 15 因数据泄露或不遵守安全和隐私法而处以的最高罚款的事件(截止至2024年4月26日)

序号 公司 金额
1 Meta(Facebook) 13亿美元
2 滴滴 11.9亿美元
3 Amazon 8.77亿美元
4 Equifax 5.75亿美元(至少)
5 Meta(Facebook、Instagram) 4.13亿美元
6 Instagram 4.03亿美元
7 TikTok 3.7 亿美元
8 T-Mobile 3.5亿美元
9 Meta(Facebook) 2.77亿美元
10 WhatsApp 2.55亿美元
11 Home Depot 约2亿美元
12 Capital One 1.9亿美元
13 Uber 1.48亿美元
14 Morgan Stanley 1.2亿美元(总计)
15 Google Ireland 1.02亿美元

0x03 风险管理系统

也正因为风险之间存在着较大的差异,所以不同的威胁的相对重要程度会有所不同,进而导致缓解措施也不同。为了提供一个系统的思考风险的过程,风险管理框架(risk management framework,RMF)应运而生,它能列举出各种威胁、确定风险的重要性并定义缓解措施。

0x04 威胁模型

由于威胁是风险发生的途径,如何识别并列举出系统潜在的威胁至关重要。威胁模型(Threat modeling)可以系统地查看系统组件和可能的攻击模式,以帮助您确定系统最容易受到攻击的位置。

需要注意的是,没有单一的综合的威胁模型,因为威胁模型还取决于风险、特定环境、组织和正在运行的应用程序等种种因素。虽然容器的威胁模型不能列出全部的威胁,但它可以列出大多数容器部署环境所存在的一些共同的潜在威胁。

0x05 总结

本文,我们通过情景再现,解释了风险、威胁和缓解措施的概念,并且浏览了全球 Top 15 因数据泄露或不遵守安全和隐私法而处以的最高罚款和罚金的事件。

为了提供一个系统的思考风险和识别威胁的过程,我们简单介绍了风险管理框架和威胁模型的定义。

需要注意的是,虽然没有一个综合的威胁模型,但为了识别出容器部署环境所存在的威胁,对容器进行威胁建模仍然是一个有效的方式。

参考资料
[1]

通用数据保护条例(General Data Protection Regulation ,GDPR): https://www.atlassian.com/zh/trust/compliance/resources/gdpr

[2]

允许的罚款高达公司总收入的4%: https://www.atlassian.com/zh/trust/compliance/resources/gdpr

[3]

名单: https://www.csoonline.com/article/567531/the-biggest-data-breach-fines-penalties-and-settlements-so-far.html

欢迎关注“喵苗安全”,原创技术文章第一时间推送。
如果您对这个话题感兴趣,欢迎订阅合集:容器安全防护基础,我们将为您提供系统的学习资料,
您也可以通过公众号主页进入我们的读者交流群,我们将根据您的反馈,调整我们的内容~

1.1 风险、威胁和缓解措施

原文始发于微信公众号(喵苗安全):1.1 风险、威胁和缓解措施

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月11日14:06:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   1.1 风险、威胁和缓解措施https://cn-sec.com/archives/2837220.html

发表评论

匿名网友 填写信息