Risk Analysis
所有專業的資訊安全人員都會進行風險評估:總是進行此項直到它變成一種習慣。有一個更新在周二被釋出。你的公司通常會在安裝前測試兩周時間,但是一個以網際網路散播為基礎的蠕蟲它會直接感染未更新的系統。如果你立即安裝了這個更新,則你風險時間會下降到測試未完成前。如果你等待測試,你將有風險會感染蠕蟲。哪一個風險較大?你應該怎麼作?風險分析會幫助你做出決定。
一般人無法精確的評估風險:如果你害怕在旅途中死亡,從紐約開車到佛羅里達州取代坐飛機的風險,你就作出了較差的風險評估。這是一個長距離的旅途評估,開車的死亡風險高於飛機。
準確的評估風險是資訊專業人員的重要技能。我們必須保持自己以更高的標準進行風險判斷。我們進行風險評估使用安全機制去佈署資產保護,我們花掉了這些錢和資源量。糟糕的決定結果會導致浪費錢,而更糟的結果是妥協的資料。
Assets
資產是我們嘗試去保護的有價值資源。資產可以是資料、系統、人、建築、物業,其他等等。資產的價值與重要性決定我們如何作出防禦機制。人總是我們最有價值的資產。
Threats and Vulnerabilities
威脅是潛在的災害,就像地震,停電,或者是以網路為基礎的蠕蟲病毒例如:Conficker worm,當他開始攻擊最後版本的Windows OS 2008。威脅是一個非正向的行為並且造成系統損害。
漏洞指的是一個弱點並讓威脅造成損害。漏洞例如沒有按照防震基準的建築物,沒按照正確備份作業的資料中心,或者是微軟的Windows XP沒有進行近年來的更新。
舉一個蠕蟲的案例,有一個威脅是Conficker蠕蟲。 Conficker蠕蟲傳播通過三種途徑(由於缺少了MS08-067 Patch,請參考http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx),透過Windows系統感染USB的AutoRun,網路分享由於較弱的密碼。
有連接上網路的Windows作業系統在缺此更新上是屬於較脆弱的一環,他們會藉由USB中的”自動執行”感染入侵Windows平台的作業系統,或者是經有簡易密碼的網路分享。如果以上三個條件都存在,你就具有風險。一個Linux的系統並沒有漏洞感染Conficker,因此Conficker對它來說沒有風險。
