官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
0x00 前言
风险与威胁有什么区别?缓解措施和它们又有什么关系呢?在对容器进行威胁建模之前,我们先简单说明一下风险、威胁及缓解措施的基本概念。
0x01 定义
首先,我们来看一下定义:
- 风险(Risk):潜在的问题,以及如果问题发生会造成的影响。
- 威胁(Threat):导致风险发生的途径。
- 缓解措施(Mitigation):对威胁的应对措施,即:你可以采取的可以用来防止威胁或至少降低其成功的可能性。
假设一个情景:有人从你家偷走了车钥匙。那么:
- 风险(Risk):你的车可能会被开走。
- 威胁(Threat):偷取钥匙的不同的方式,例如:打破窗户伸手拿;用鱼竿将它钓走;敲门分散你的注意力,同时帮凶迅速溜进家中拿走钥匙。
- 缓解措施(Mitigation):让车钥匙不要离开你的视线。
0x02 风险之间的差异
风险因组织而异:
- 对于银行而言,风险是资金被盗取;
- 对于电商而言,风险是交期被欺诈;
- 对于经营博客的个人开发者而言,风险是别人入侵他们的网站并且发布不当言论。
风险不仅因国家之间的隐私法规不同而不同,还因地理位置不同而不同:
- 在许多国家,泄露客户个人数据仅会损害声誉,
- 而在欧洲,通用数据保护条例(General Data Protection Regulation ,GDPR)允许的罚款高达公司总收入的4%。
2019年7月,CSO统计了因数据泄漏或不遵守安全法而处以的最高罚款的事件,截止至2024年4月26日共有15起,这份名单会随着相关处罚的新闻出现而持续更新。
| 序号 | 公司 | 金额 |
|---|---|---|
| 1 | Meta(Facebook) | 13亿美元 |
| 2 | 滴滴 | 11.9亿美元 |
| 3 | Amazon | 8.77亿美元 |
| 4 | Equifax | 5.75亿美元(至少) |
| 5 | Meta(Facebook、Instagram) | 4.13亿美元 |
| 6 | 4.03亿美元 | |
| 7 | TikTok | 3.7 亿美元 |
| 8 | T-Mobile | 3.5亿美元 |
| 9 | Meta(Facebook) | 2.77亿美元 |
| 10 | 2.55亿美元 | |
| 11 | Home Depot | 约2亿美元 |
| 12 | Capital One | 1.9亿美元 |
| 13 | Uber | 1.48亿美元 |
| 14 | Morgan Stanley | 1.2亿美元(总计) |
| 15 | Google Ireland | 1.02亿美元 |
0x03 风险管理系统
也正因为风险之间存在着较大的差异,所以不同的威胁的相对重要程度会有所不同,进而导致缓解措施也不同。为了提供一个系统的思考风险的过程,风险管理框架(risk management framework,RMF)应运而生,它能列举出各种威胁、确定风险的重要性并定义缓解措施。
0x04 威胁模型
由于威胁是风险发生的途径,如何识别并列举出系统潜在的威胁至关重要。威胁模型(Threat modeling)可以系统地查看系统组件和可能的攻击模式,以帮助您确定系统最容易受到攻击的位置。
需要注意的是,没有单一的综合的威胁模型,因为威胁模型还取决于风险、特定环境、组织和正在运行的应用程序等种种因素。虽然容器的威胁模型不能列出全部的威胁,但它可以列出大多数容器部署环境所存在的一些共同的潜在威胁。
0x05 总结
本文,我们通过情景再现,解释了风险、威胁和缓解措施的概念,并且浏览了全球 Top 15 因数据泄露或不遵守安全和隐私法而处以的最高罚款和罚金的事件。
为了提供一个系统的思考风险和识别威胁的过程,我们简单介绍了风险管理框架和威胁模型的定义。
需要注意的是,虽然没有一个综合的威胁模型,但为了识别出容器部署环境所存在的威胁,对容器进行威胁建模仍然是一个有效的方式。
更多分享,关注微信公众号:喵苗安全
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者