每个职业都有自己的语言/词汇, 无论是医疗行业, 法律或资讯科技. 医学和法律行业已经存在了数百年,并且很早就建立了他们的专业词汇. 然而, IT和信息安全仅存在了几十年,在建立词汇表方面不像其他专业那样成熟.
在我们的职业中,有几个词有多种含义. 我将重点关注通常用来描述风险的三个词. 然而,这两个词不应该互换,因为它们的意思不同: 风险, 威胁 和 脆弱性. 对大多数人来说,即使在IT行业中,这两个词也是可以互换的. 但是,对于安全专业人员来说,它们不应该如此,因为它们具有完全不同的含义. 允许这些词可以互换,会让我们的安全和IT同事以及组织中的领导者感到困惑.
我们先来看看 风险. 根据韦氏词典的定义,风险是坏事发生的可能性. 它涉及到活动对人类所看重的事物的影响或影响的不确定性, 哪些经常关注消极, 不良的后果. 是"不知道" "如果"和"暧昧.“ 公平的研究所, “评估”风险的定量框架, 通过在定义中加入一些参数,如损失发生的频率和可能造成的损失,用更多的定量定义来定义它. 这些参数可以帮助安全实践者量化风险. 一个例子是:我们的网络中存在勒索软件的风险 它每年可能会影响我们的系统3到9次.“它并没有说它存在, 但它确实表明,我们不知道它是否存在以及它影响公司的概率.
A 威胁 被定义为意图造成伤害的表达, 换句话说,伤害或损害, 使用勒索软件对组织造成伤害或损害的意图. 在FAIR教科书中测量和管理信息风险,威胁通常被描述为行为者或群体. 更容易想到的是与一个组织(比如一个国家支持的犯罪集团)或自然灾害(比如洪水)有关的威胁, 地震或龙卷风). 这些意图或事件要求将消极的行动意图视为对澳门赌场官方下载健康的威胁. 如果没有负面的意图,那么它就不是威胁.
脆弱性 被定义为身体或情感受伤的能力吗. 脆弱性是一种增加被伤害能力的条件. 一个例子是,操作系统补丁可能允许勒索软件利用和感染机器. 因为该组织落后于它的补丁时间表打开了未来伤害的可能性,但并不意味着它会发生.
我最近一直在 准备CISM考试 偶然发现了这个公式,解释了这些词在我们的职业中应该如何使用. 风险是威胁和脆弱的产物. 公式是这样的:
风险=威胁*漏洞
外行和我们的IT团队成员在描述组织或公司面临的危险时经常会交换这些词. 根据这个公式,我们可以看到每个元素都不能互换. 安全从业人员有责任继续教育他们的It专业人员和业务同事正确使用这些词.
作为安全从业人员, 我们必须抵制这种混淆,正确地使用这些词,并温和地纠正我们的同事如何使用这些词来描述危险的情况. 就像其他行业一样, 建立一个通用的词汇需要几十年的时间, 而是作为IT安全专家, 我们有责任制定和宣传正确使用“风险”一词的标准, 威胁和漏洞.
