亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

根據(jù)Gartner 預測， 2025 年信息安全支出將從 2024 年的 1839 億美元增加到 2120 億美元，增長 15%。盡管投資大幅增長，但網(wǎng)絡安全預算仍然面臨巨大壓力，決策者希望每項支出都有比以往更大的理由。數(shù)字風險投資回報的重要性顯而易見，本文探討在數(shù)字風險防范上投資的長期價值和方法，希望為有效地衡量數(shù)字風險投資回報提供思路。

1.數(shù)字風險管理模型

隨著企業(yè)數(shù)字化轉型，數(shù)字風險管理理論也在信息風險管理的基礎上越來越多的被企業(yè)管理者所認知。為了更好地研究數(shù)字化風險，在此引入FAIR模型。引入FAIR模型是因為FAIR模型是信息安全領域廣為使用的網(wǎng)絡安全風險評估（CRA）框架。

FAIR（Factor Analysis of Information Risk 信息風險因素分析）模型的產(chǎn)生是因為數(shù)字化進程推動越來越多的企業(yè)依賴于信息科技，信息科技的高速發(fā)展帶來了網(wǎng)絡環(huán)境復雜度的幾何級數(shù)遞增，由此，網(wǎng)絡安全成為越來越多的企業(yè)所面臨的棘手問題和關鍵問題。這些問題包括數(shù)據(jù)泄露、企業(yè)聲譽受損以及最終的財務損失。為了減輕和預防這些風險，需要對網(wǎng)絡安全風險評估，幫助企業(yè)風險管理人員確定數(shù)字風險的優(yōu)先級，分配有限的資源以緩解數(shù)字風險并做出進一步的防范決策。

1.1.?FAIR模型簡介

FAIR模型使用分類法將風險（財務損失）分解為風險因素，F(xiàn)AIR模型考慮了攻擊者和防御者之間的能力競賽，以及信息資產(chǎn)的脆弱性、攻擊頻率，并采用財務損失進行風險量化，F(xiàn)AIR模型還對風險因素之間的關系進行了描述。（見下圖）：

FAIR模型

FAIR模型對風險類別進行了建模，在風險分類時，需要詳盡無遺漏且風險因素間互斥。整體風險（財務損失）由事件發(fā)生頻率和損失幅度的乘積進行描述。即：風險（財務損失）=事件發(fā)生頻率*損失幅度。

事件發(fā)生頻率是指攻擊者在給定時間范圍內對信息資產(chǎn)造成傷害的頻率，由威脅事件頻率和資產(chǎn)脆弱性的乘積表達（事件發(fā)生頻率=威脅事件頻率*資產(chǎn)脆弱性），其中前者表示“攻擊者對信息資產(chǎn)采取行動的頻率”，而后者則被定義為“信息資產(chǎn)無法抵抗攻擊者行動的可能性”。

威脅事件頻率是攻擊者與資產(chǎn)接觸的頻率，是攻擊者一旦接觸目標信息資產(chǎn)（接觸頻率）就會對資產(chǎn)采取行動的概率（行動概率），表達為：威脅事件頻率=接觸頻率*行動概率。

資產(chǎn)脆弱性是威脅因素能夠對資產(chǎn)施加的力量水平（威脅能力）與防御者對資產(chǎn)的控制強度（抵抗強度）之間的差，表達為資產(chǎn)脆弱性=威脅能力-抵抗強度。

損失幅度由直接損失和間接損失共同組成，表達為：損失幅度=直接損失+間接損失。在FAIR模型中間接損失又稱為次要損失，典型的例子有企業(yè)品牌負面影響、資金成本增加等。

間接損失可分解為間接損失事件頻率和間接損失幅度，表達為：間接損失=間接損失事件頻率*間接損失幅度。

FAIR模型完整的風險公式表達為：

風險=（接觸頻率*行動概率）*（威脅能力-抵抗強度）*（直接損失+間接損失事件頻率*間接損失幅度）

1.2.?數(shù)字風險分析模型（C-FADR模型）簡介

在數(shù)字風險的環(huán)境下，F(xiàn)AIR模型具有一定的約束性。

·信息資產(chǎn)公開性：在數(shù)字風險研究領域，主要被攻擊對象為公開發(fā)布的應用系統(tǒng)，包括：企業(yè)網(wǎng)站、移動端應用、企業(yè)公眾號和高級管理人員公眾號，其典型表現(xiàn)為公開性，數(shù)字風險保護所提到的數(shù)據(jù)泄露概念，也是基于數(shù)字信息已經(jīng)泄露的前提。

·攻擊能力易獲性：由于開源測試軟件的推廣，各種測試軟件和學習材料極其容易獲取，而這些軟件具有雙面性，既可以用于應用系統(tǒng)的測試和改善，也可以被攻擊者用于攻擊行為，由于資產(chǎn)的公開性，針對網(wǎng)站、APP、公眾號信息等展開的攻擊行為可謂入無人之境。

·威脅事件可測量：針對數(shù)字風險的攻擊，攻擊者需要進行公開發(fā)布方能產(chǎn)生攻擊效果，因此針對互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、深網(wǎng)和暗網(wǎng)的監(jiān)測能夠發(fā)現(xiàn)威脅事件，并利用統(tǒng)計學原理進行計算可評估威脅事件的頻率，因此威脅事件具有可測量性，且測量過程可控、測量結果可信。

基于以上約束條件，針對數(shù)字風險的FAIR模型可以簡化為下圖：

數(shù)字風險FAIR模型

由于上述模型的前提是針對威脅事件的測量和資產(chǎn)脆弱性的約束假設，因此，將該模型定義為約束的數(shù)字風險因素分析模型：Constraint-Factor Analysis of Digital Risk，簡稱C-FADR。表達為：

數(shù)字風險=威脅事件頻率*（直接損失+間接損失事件頻率*間接損失幅度）

經(jīng)簡化后的數(shù)字風險公式更加容易應用，企業(yè)可以通過監(jiān)測互聯(lián)網(wǎng)威脅和內部調查收集信息而快速完成風險評估。

1.3.?損失幅度分析簡介

1.3.1.防御者視角

在風險模型中，統(tǒng)計損失一向具有難度，尤其是損失由直接損失和間接損失共同組成，而間接損失猶如冰山隱藏在水下的部分，估算難度更大。然而，通過科學的估算模型，間接損失仍然是可以計算出來的，甚至可以利用經(jīng)驗公式進行粗略估算，就如同利用密度比通過冰山浮在水面上的部分去推算冰山整體體積一樣。

針對數(shù)字風險所研究的范圍，其直接損失將處于更小的比例，這里的直接損失是指事件發(fā)生后其損失由企業(yè)直接遭受的貨幣化損失，且損失數(shù)額可在損失前量化。數(shù)字風險的主要損失由間接損失構成，間接損失是指具有一定或然性，在事件發(fā)生后可能會發(fā)生，其概率大于0且小于1，可能包括：

·~民事、刑事或合同罰款和判決

·~通知費用

·~信用監(jiān)控

·~彌補二級利益相關者的金錢損失

·~公共關系費用

·~法律辯護費

·~處置成本，由一線人員、公關、法務、其他相關人員的薪酬構成

·*監(jiān)管制裁的影響

·*失去的市場份額

·*股價下跌

·*資金成本增加

以上間接成本，帶有~符號的科目，企業(yè)可通過內部調研獲得，且誤差控制相對精確，而帶有*符號的科目，其影響的長期性、非精準性增加，考慮到影響的比重較大，需要相應的投入獲得精準的數(shù)字。

1.3.2.攻擊者視角

在上節(jié)中，我們采用了防御者的視角來分析數(shù)字風險，這也是風險模型中普遍采用的分析視角，然而僅采用防御者的視角分析風險并不全面，例如：針對政府網(wǎng)站的仿冒行為，其損失往往無法簡單地用直接損失+間接損失的貨幣化來衡量，這時候需要引進攻擊者視角，所謂：“匹夫無罪，懷璧其罪”，采用攻擊者價值視角，可以是企業(yè)和組織更加關注其社會責任。

由于攻擊者針對數(shù)字資產(chǎn)的攻擊可以直接或間接變現(xiàn)、技術要求低、犯罪成本低、容易藏匿于法外之處，因此分析攻擊者能夠獲得價值，可以作為非企業(yè)的首要參考模型，在此場景下，數(shù)字風險模型變換為：

其公式表達為：

數(shù)字風險=威脅事件頻率*攻擊者收益

其中，攻擊者收益可以通過公開信息進行分析。

小結：

數(shù)字風險是隨著數(shù)字化轉型而快速產(chǎn)生的規(guī)模化風險，經(jīng)精簡和場景化后的數(shù)字風險模型，可以幫助企業(yè)和組織應對數(shù)字化風險建模的挑戰(zhàn)，重定義信息技術風險的優(yōu)先級矩陣，從而集中、高效地管理數(shù)字風險應對資源。

在建立數(shù)字風險模型外，企業(yè)和組織還需要應對數(shù)字風險管理職責的挑戰(zhàn)，其表現(xiàn)為牽頭部門不確定。在數(shù)字風險管理框架下，技術、風控、法務、市場等部門的需要形在數(shù)字風險官（DRO）的統(tǒng)一領導下工作，才能真正做到對風險的應對。

聲明：本文來自數(shù)字安全的理會踐行，稿件和圖片版權均歸原作者所有。所涉觀點不代表東方安全立場，轉載目的在于傳遞更多信息。如有侵權，請聯(lián)系rhliu@skdlabs.com，我們將及時按原作者或權利人的意愿予以更正。

翻譯圖片

顯示原圖

翻譯為

中文

英文

復制譯文

下載圖片