咨询大伙儿1个情形,倘若,漏洞被挖掘了,修补好了,能给公司省多少费用,这一使用价值能量化吗?换个角度来看,漏洞并没有被挖掘,会给公司产生多少钱经济损失,这一使用价值又能被细化吗?假如能的情况下,有什么指标值能够 参照呢?漏洞存有是安全风险,不一定会被攻击。攻击是危害,才可以用使用价值经济损失估算。仅有当产生了经济损失,才可以去分析,通常公司没法细化。这也是安全基本建设,为什么常常是量化策略。能参照各个厂商漏洞的奖金新政不?漏洞奖金新政和漏洞使用价值是两码事,例如你给我个smb的rce,我给你一千W,你给微软公司微软能给大家多少钱?最高二十W刀。你能够说这一漏洞使用价值仅有二十W刀?换一个事例solarwinds弱口令倘若有src,你递交给他们,给大家算多少钱使用价值?一千刀?实际这一弱口令事后的导致的经济损失使用价值早已过亿刀了,没有办法细化。攻防实战演练实际上 也是处理漏洞使用价值不太好分析的情形产生的行动,把漏洞转变成为管理权限无法控制、数据泄漏、高层领导隐私泄露、商业机密泄漏安全风险。在认证充分的情形下,漏洞检测链越进一步越易于造成领导层针对安全风险的认知,易于引起增加资金投入的管理决策。
漏洞修复资金投入roi的估算,实际上 是一个很悠久过去的风险评定的情形,根据本人的经历能够 分两层面看:
(1)院派,漏洞检测几率(运用成本费用,公司资产爆漏面等原因危害)乘于资产使用价值。能够 实际细化出1个洞在一个公司里如果不修补较大 的经济损失。
(2)实操派,1个公司所处环节不一样,1个洞的危害使用价值不一样,创业初期的公司,安全莽荒,1个RCE类漏洞例如java反序列化,通常能够 直接打爆1个企业网,因此 这个时候修补这类洞的ROI十分高;可是1个健全公司,安全管理体系健全,某一洞被运用,未必能导致洞穿等级危害,ROI很难看出来,就须要根据viking讲的,对战实战演练,社工等整体方式来考量应对高级别敌人、运用哪种攻击组合策略和技巧,公司应当在哪儿提升资金投入,而不单单是一个洞的修补ROI分析。
还没有评论,来说两句吧...