ในปี 2013 MITER Corp. เริ่มเผยแพร่กรอบ ATT&CK ซึ่งเป็นฐานความรู้ที่มีชีวิตของกลยุทธ์และเทคนิคของผู้คุกคาม จากหลักฐานในงาน ATT&CKcon ประจำปีครั้งแรกของเดือนพฤศจิกายน 2018 องค์กรต่าง ๆ ต่างค้นหากรณีการใช้งานที่เป็นนวัตกรรมใหม่สำหรับเฟรมเวิร์ก การใช้งานอย่างหนึ่งที่แนะนำโดย MITER คือเพื่อเปรียบเทียบความสามารถในการป้องกันเครือข่ายคอมพิวเตอร์ ในขณะที่อีกวิธีหนึ่งคือการเลียนแบบฝ่ายตรงข้าม
เมื่อนำมาใช้ที่จุดที่ถูกต้องในวงจรชีวิตการบริหารความเสี่ยง
แอปพลิเคชันเหล่านี้สามารถแจ้งการระบุความเสี่ยง การประเมิน และการตอบสนอง
เรื่องที่เกี่ยวข้องMatt Shabat: ฐานข้อมูล DHS เพื่อช่วยบริษัทประกันความปลอดภัยทางไซเบอร์
ไดรฟ์ของรัฐบาลกลางอ่านเพิ่มเติม
ขอบคุณข้าราชการ? อย่าลืมทีมรักษาความปลอดภัยทางไซเบอร์ของคุณ
อรรถกถาอ่านเพิ่มเติม
ความทันสมัยด้านไอที
แผน 36 จุดใหม่ของทำเนียบขาวในการปรับปรุงไอทีของรัฐบาลกลางให้ทันสมัย
สมุดบันทึกของนักข่าวอ่านเพิ่มเติม
ริชาร์ด สตรูส MITER Corporation
ทรัพยากร ‘ATT&CK’ ใหม่ของ MITRE ซึ่งเป็นสารานุกรมของภัยคุกคามทางไซเบอร์
ข้อมูลเชิงลึกของเดือนอ่านเพิ่มเติมการใช้ ATT&CK นักเศรษฐศาสตร์ในสำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของหน่วยงานความมั่นคงแห่งมาตุภูมิของหัวหน้านักเศรษฐศาสตร์พัฒนารูปแบบการวิเคราะห์จุดคุ้มทุนที่สมดุลระหว่างต้นทุนของการควบคุมเชิงป้องกันกับการตอบสนองต่อเหตุการณ์และการกู้คืน
โมเดลนำเสนอ “เมนู” ของการควบคุมที่เชื่อมโยงกับเทคนิคของฝ่าย
ตรงข้ามที่พวกเขาระบุ เช่นเดียวกับ “เมนู” ของการดำเนินการตอบโต้ที่คาดว่าจะขึ้นอยู่กับเทคนิคที่เรียกใช้โดยผู้คุกคาม องค์กรสามารถจำลองการแลกเปลี่ยนต้นทุนระหว่างการป้องกันและการตอบสนอง แม้ว่าสิ่งนี้จะให้ขอบเขตที่ต่ำกว่าสำหรับผลประโยชน์การลงทุนที่อาจเกิดขึ้น แต่การหลีกเลี่ยงค่าใช้จ่ายเพิ่มเติมใด ๆ ในแง่ของผลกระทบต่อภารกิจ การดำเนินธุรกิจ ชื่อเสียงหรือการสูญเสียทรัพย์สินทางปัญญาจะสนับสนุนการลงทุนดังกล่าวเพิ่มเติม
ข้อมูลการแลกเปลี่ยนอุตสาหกรรมของ Federal News Network: คุณใช้ประโยชน์จากข้อมูลอย่างเต็มที่เพื่อขับเคลื่อนการเปลี่ยนแปลงในหน่วยงานของคุณหรือไม่? เข้าร่วมกับเราในวันที่ 8 พฤษภาคมเพื่อค้นพบเทคนิคและเทคโนโลยีล่าสุดที่จะช่วยให้ทำเช่นนั้นได้
สำนักงานความรับผิดชอบของรัฐบาลได้รวมการรักษาความปลอดภัยทางไซเบอร์ของรัฐบาลกลางไว้เป็นประเด็นสำคัญอย่างต่อเนื่องใน “ซีรีส์ความเสี่ยงสูง” ทุกสองปี ในทำนองเดียวกันรายงานการพิจารณาความเสี่ยงด้านความปลอดภัยทางไซเบอร์ของรัฐบาลกลางและแผนปฏิบัติการ ( i) ระบุว่ามีหน่วยงานเพียง 26 เปอร์เซ็นต์เท่านั้นที่จัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ของตน นอกจากนี้ ยังตั้งข้อสังเกตว่าการใช้จ่ายของเอเจนซีมีแนวโน้มเพิ่มขึ้น 700 ล้านดอลลาร์จากปีงบประมาณ 2016 ถึง 2017 ตามรายงาน การใช้จ่ายนี้เกิดขึ้นโดยขาด “การจัดลำดับความสำคัญหรือผลตอบแทนจากการลงทุนจริงในแง่ของการลดความเสี่ยงทางไซเบอร์”
ยังมีกรอบการจัดการความเสี่ยงที่หลากหลายสำหรับการยอมรับของหน่วยงาน รวมถึง ISO/IEC 27005 และ COBIT 5 สำหรับความเสี่ยง แน่นอน หน่วยงานต่างๆ มีแนวโน้มที่จะมุ่งความสนใจไปที่สิ่งพิมพ์พิเศษของ National Institute of Standards and Technology ฉบับที่ 800-30 Revision 1 ซึ่งกล่าวถึงการประเมินความเสี่ยง และสิ่งพิมพ์พิเศษของ NIST ฉบับที่ 800-39 ซึ่งเน้นการจัดการความเสี่ยงด้านความปลอดภัยข้อมูล ไม่ว่าเฟรมเวิร์กที่เลือกไว้ แต่ละเฟรมจะมีโครงสร้างพื้นฐานที่ดำเนินการผ่านวงจรชีวิตของการระบุความเสี่ยง การประเมิน การตอบสนอง และการติดตามและการรายงาน เมื่อเลือกแล้ว สามารถปรับปรุงกรอบการทำงานได้โดยใช้แนวทางการวิเคราะห์ปัจจัยความเสี่ยงด้านข้อมูล (FAIR) ซึ่งช่วยให้สามารถแยกส่วนประกอบของความเสี่ยงเพื่อการวิเคราะห์เชิงปริมาณได้ดียิ่งขึ้น
การบริหารความเสี่ยงด้านปฏิบัติการ
การใช้ FAIR เป็นจุดออกเดินทาง ความเสี่ยงสามารถแบ่งออกเป็นความถี่ของเหตุการณ์การสูญเสียและขนาดของการสูญเสีย สิ่งเหล่านี้สามารถแยกย่อยเพิ่มเติมได้ตามความจำเป็น ออกเป็นความถี่และช่องโหว่ของเหตุการณ์ภัยคุกคาม ตลอดจนการสูญเสียหลักและการสูญเสียรอง สามารถสลายตัวในระดับเพิ่มเติมได้ หน่วยงานส่วนใหญ่มีแนวโน้มที่จะใช้กรอบความเสี่ยง แต่ตอนนี้ควรมุ่งเน้นไปที่การจัดการความเสี่ยงในการดำเนินงานภายใต้ความพยายามในการจัดการเชิงกลยุทธ์ที่กว้างขึ้น – การรวมกลยุทธ์และการจัดการความเสี่ยงเข้ากับข้อมูลงบประมาณและข้อมูลความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องกับการปฏิบัติงาน เมื่อเปรียบเทียบกับเมื่อไม่กี่ปีที่ผ่านมา หน่วยงานของรัฐบาลกลางสามารถเข้าถึงข้อมูลได้มากขึ้นอย่างมีนัยสำคัญ ซึ่งช่วยให้สามารถกำหนดมูลค่าตามประเภทของ FAIR ได้
ตัวอย่างเช่น ในขณะที่ DHS และหน่วยงานแต่ละแห่งปรับใช้ความสามารถด้านการวินิจฉัยและการบรรเทาผลกระทบ (CDM) อย่างต่อเนื่องทั่วทั้งองค์กรของรัฐบาลกลาง และเชื่อมโยงการดำเนินงานด้าน
Credit : สล็อตยูฟ่า / คืนยอดเสีย / เว็บสล็อตออนไลน์
