我知道“风险”的计算,但我不明白计算中的变量是什么意思是
风险计算如下((asset * priority * reliability)/25)
不过,我不太明白这个等式中的各个变量应该是什么,而且它们似乎没有详细记录或解释。
例如,“可靠性”应该表示什么?是否有任何文章或文档描述此计算的各个部分以及它们的实际含义?类似于“此事件非常可靠”——但这到底是什么意思,特别是如果我不知道某个特定事件是否可靠地属于安全事件。例如,我该使用什么指标/标准来确定事件是否更“可靠”?
还有“资产”:我认为有些资产显然比其他资产更重要,但我如何确定它们的重要性呢?例如,设定资产价值是否有经验法则?
最后,优先级似乎也相当随意。是否有任何指南或示例来针对任何给定事件设置此值?
我想提高某些事件的敏感度,但我觉得我只是在随意按按钮,而不了解这个风险方程各组成部分背后的意图。
答案1
优先级。事件调查的紧急程度
可靠性。事件为假阳性的可能性
请参阅第 3.2 节https://www.alienvault.com/doc-repo/usm/security-intelligence/AlienVault_Life_cycle_of_a_log.pdf了解更多背景信息。
我从未见过设定资产价值的任何经验法则,但我倾向于使用:
5:适用于任何能够从互联网接收数据包或可以对有价值数据(PCI、银行、PHI、SSN 等)进行未加密访问的服务器/设备。或任何域控制、LDAP 服务器或任何其他形式的身份验证服务设备。VPN 设备
4:不属于上述情况的任何数据库服务器。应用服务器源代码存储库。
3:任何其他生产服务器或设备
2:任何非生产设备
1:任何不关心