来源:http://veriscommunity.net/veris-overview.html
一、VERIS 的概述
我们需要知道什么?为了知道它,我们需要测量什么?多年来,已经有了许多收集和共享安全事件数据的倡议,但广泛的参与和成功都是难以捉摸的。虽然造成这种情况的原因有很多,但至少部分原因是缺乏一种普遍接受的分类法。这些努力要么由于在测量什么方面模棱两可而瘫痪,要么由于基于不兼容或不适当的分类系统而收集的数据没有价值而失去吸引力。
每个交集上的数字提供了一种简单的方法,用于引用事件(行动者,Actor)背后的人员、使用(行动,Action)受影响的设备(资产,Asset)以及它们如何受到影响(属性,Attribute)的特定组合。我们将这些高级类别称为4A。例如,#1描述了事件链中包含外部参与者、恶意软件操作、服务器资产和机密属性的事件。这并不一定意味着某个外部参与者安装了恶意软件,危及了服务器的机密性(这就是为什么恶意软件之类的人仍然使用#s的原因)。换句话说,交叉点表示事件中的关联,而不是具体的A之间的直接联系。请注意,可以通过使用VERIS的事件建模来创建这些方向连接,但是这个过程并不简单,并且超出了大多数事件描述/报告的需要。
为了帮助消除对更广泛可用的安全数据的这种障碍,我们提供了用于事件记录和事件共享(VERIS)的词汇表,供公众考虑和使用。VERIS是一组指标,旨在提供一种通用语言,用于以结构化和可重复的方式描述安全事件。总的目标是奠定一个基础,在此基础上,我们可以建设性和合作地从我们的经验中学习,以更好地管理风险。
回到我们需要知道和测量什么的问题上,这里给出的图表是有指导意义的。信息风险领域可以可视化地表示为威胁、资产、影响和控制的四个交叉景观。组织理解和管理风险的能力需要来自每个领域的信息。因此,安全度量标准应该创建知识,以改进管理层做出决策和执行决策的能力。
VERIS是专门为此设计的。虽然调查、传感器和其他来源可以为风险管理提供信息,但还有什么数据来源比对实际出错的事情进行第一手调查更好呢?这正是VERIS的优势所在——它植根于对证据的审查和事后分析,但旨在提供对风险管理有用的度量。
网友评论