来源:http://veriscommunity.net/victim-demo.html
受害者统计部分描述了(但没有标识)受事件影响的组织。主要目的是帮助比较不同类型的组织(跨行业、规模、地区等)或单个组织内的部门。虽然可以跟踪任意数量的组织特征,但下面列出的特征为有趣和有用的比较提供了充分的基础。
使用VERIS在内部跟踪事件的组织可能(取决于情况)希望预先填充部分或全部人口统计变量,而不是在每次提交时提示用户输入这些变量。
一、Victim ID
受害者身份
问题文本:受害者组织ID:
用户指出:N / A
问题类型:文本字段
变量名:victim.victim_id(字符串)
目的:将事件与受其影响的实体相关联(不标识实体本身)。即使在匿名事件共享场景中,这也可以用于许多目的。例如,每个组织发生的事件的平均数量,为什么某些组织会发生更多的事件,某些纠正措施是否会导致事件/损失的减少等等,都需要研究。
开发者注意:如果你计划与他人分享事件,我们建议不要将你的组织名称作为受害者ID的一部分。在某些情况下(单个组织内的事件跟踪),这个字段可能会自动填充而不是提示用户。
杂项:
许多VERIS用户根本不需要这个字段——要么是因为他们在内部使用它,要么是因为他们在匿名使用它。假设你确实想记录和分享受害者的名字(即。最重要的事情是记录名称的“适当的”和可识别的形式,以帮助分析。
如果受害者姓名未知,则将victim_id留空。如果您记录了“未知零售商”之类的内容,那么在分析过程中就很难将其与真名区分开来。
使用受害者的全名或官方名称,而不是缩写或缩写。对于像“IBM”这样的组织,其首字母缩写是官方名称,可以使用它。这将有助于维护一致的记录(即,数据库很难知道“BOA”和“Bank of America”是同一个实体)。
如果受害者是国家政府机构,请始终使用没有句点的两位数ISO国家代码(e。“US Department of the Treasury”(美国财政部)而不是“U.S.。或“美国”。除此之外,尽量使用正式名称(例如,“US Department of the Treasury”而不是“US Treasury Department”或“U.S.。财政部的部门。”
如果受害者是州或地方政府机构,请使用“城市”或“州”格式。所以纽约消防局应该是纽约市消防局。
二、Primary Industry
第一行业(NAICS代码):
用户说明:VERIS使用标准NAICS代码来识别行业。在这里记录适当的代码,至少使用完整的6位代码中的2位(越具体越好)。如果有多个行业申请,请输入经历该事件的企业集团的代码。NAICS在https://www.census.gov/cgi-bin/sssd/naics/naicsrch?
问题类型:文本字段或枚举列表(单选)
变量名: victim.industry(字符串)
用途:允许特定行业的分析、趋势和比较。
开发者注意:我们建议让用户尽可能容易地定位和选择适当的行业代码(例如,选择列表)。如果合适,自动填充该字段,而不是提示用户。应用程序应配置为至少需要完整的6位代码的2位数字,以便提供足够的特异性。
杂项:
对于行业而言,完整的6位NAICS代码比从枚举列表中进行选择更可取。
对于在线/电子商务零售商,请使用“非商店零售商”代码454111。
三、Country of operation
操作所在国家
文本问题:操作所在国家
用户说明:如果是跨国公司,请输入经历该事件的业务组的主要位置。
问题类型:枚举列表(单次选择)
变量名:victim.country(字符串)
用途:允许地理分析、趋势分析和比较。
开发人员注意:VERIS使用ISO 3166代码作为country变量,可以在这里找到。我们建议在界面中创建一个列表,而不是要求用户输入正确的代码。
杂项:VERIS指定了与受害者地理位置有关的两个数据点:国家和区域。我们将两者都包括进来,因为它们都有稍微不同的用例。收集国家信息可以更具体地显示趋势,而不那么具体的地区则提供了另一种程度的去识别。我们让用户决定哪一种最符合他们的需要。
四、State
问题文本:操作所在州/区域
用户指出:N / A
问题类型:文本字段
变量名:victim.state(字符串)
用途:如果需要,允许进行更具体的国内地理分析、趋势分析和比较。
开发人员指出:N / A
杂项:N / A
五、Number of employees
员工人数
问题文本:近似的员工人数:
用户说明:更喜欢整个组织的规模,而不是特定的部门、分支机构、地点等受到影响。然而,对于一个独立的或个人拥有和经营的特许经营,特定的特许经营地点的规模通常更合适。
问题类型:枚举列表(单次选择)
变量名:victim.employee_count(字符串)
目的:允许基于组织规模进行分析、趋势研究和比较。
开发人员指出:N / A
杂项:范围允许进行有趣的比较,并为数据共享目的提供了一些消除标识的措施。如果可以获得有限的员工数量信息,可以使用小的(最多1000名员工)和大的(超过1000名)。
六、Annual revenue
年营收
年度收入:
用户说明:如果您计划共享此信息,并担心收入可能被用于识别您的组织,将数字四舍五入以提供额外的识别级别。
问题类型:用于is_currency_code的数量和枚举列表的文本字段(单次选择)
变量名: victim.revenue(由金额(整数)和iso_currency_code(字符串)组成)
目的:允许基于组织收入(另一个规模指标)进行分析、趋势分析和比较。
开发人员注意:包括金额和货币。根据您的情况,可能需要预先设置和默认货币,而不是每次都提示用户。我们建议让用户尽可能容易地定位和选择适当的货币代码(例如,选择列表)。
杂项:N / A
七、Locations Affected
位置的影响
问题文本:受事件影响的地点数目:
用户说明:例如,中央入侵扩散到多个区域办公室。注意:这假设所有位置都属于一个受害者组织。如果跨越多个受害者,视为单独的事件。
问题类型:文本字段
变量名:victim.locations_affected(整数)
目的:提供一种规模的事件对组织的影响。
开发人员指出:N / A
杂项:N / A
八、笔记
问题文本:输入你认为该事件中值得注意的受害者的任何其他细节。
用户指出:N / A
问题类型:文本字段
变量名:victim.notes(字符串)
用途:一应俱全。
开发人员指出:N / A
杂项:N / A
额外的指导
单事件vs多事件
有时很难确定多个独立事件和具有多个连续事件的单个事件之间的区别。例如,2013年8月对《纽约时报》的攻击可以被视为一个多阶段的事件,涉及三个受害者(印度ISP、墨尔本IT和纽约时报),但也可以被视为三个不同但相关的事件。在这种情况下,没有“对或错”的方法,但是数据质量需要一致的方法。使用VERIS的标准过程是将这些事件视为可以使用related_incidents字段关联的单独事件。通常情况下,VERIS的事件只有一个主要受害者。
大规模毁损和DDoS/DoS攻击会使单事件vs多事件的确定特别困难。这样的报告经常说“547个网站被#演员破坏了”,几乎没有其他细节。这是不可能的(至少不是没有很多努力),以确定是否涉及一个单一的妥协托管提供商影响了547个托管网站,这些网站是否代表547个唯一的受害者,等等。在这种情况下,为受害者id记录“大规模事件”。离开country, employee_count和industry blank,除非它们被整个受害者/网站/等等共享(例如,他们都是印度尼西亚人)。在secondary_amount字段中记录损坏/DoS的站点总数(或其他)。如果给定了特定的站点或名称,请将它们复制/粘贴到secondary_id字段中。然后正常记录任何其他细节。
网友评论