IT风险评估框架:实际经验

正式的风险评估方法论试图从评估IT风险中排除猜测。这是对四个此类框架的真实反馈:OCTAVE,FAIR,NIST RMF和TARA。

目录
展示更多
1 2 Page 2
第2页,共2页

塔拉依靠三个主要参考资料来得出其预测结论。一个是英特尔的威胁代理库,它定义了八个常见威胁代理属性,并标识了22种威胁代理原型。第二个是它的通用暴露库,其中列举了英特尔已知的信息安全漏洞和暴露。几个公开可用的公共暴露库也用于提供其他数据。第三个是英特尔的方法和目标库,其中列出了威胁代理的已知目标以及它们最有可能用于实现这些目标的方法。

Forrester Research的高级分析师安德鲁·贾奎斯(Andrew Jaquith)表示:“我非常喜欢[英特尔]对TARA所做的事情,并相信它有希望。 “它非常适合制造商,关键基础设施提供商以及其他想要评估的人 来自工业间谍,民族国家和流氓管理者等知名人士的风险。”

海耶斯说,他正在审查英特尔发布的有关TARA的信息。他说:“我真正喜欢TARA的是威胁代理对风险的看法。” “ 塔拉的一部分-威胁代理库以及方法和目标库-可以在其他风险评估方法中轻松使用,尤其是在需要对常见威胁代理和相应方法进行标准化的情况下。”

Woerner补充说,“ 塔拉似乎是识别,预测和优先考虑对您的基础架构的威胁的好工具。” “您可以使用它来创建可以在不同组之间共享的通用库。”

沃尔纳说,该框架“着眼于威胁而不是资产,以应对可能发生的坏事”。 “这既好又坏。通过专注于威胁而不是资产价值,评估人员可能无法识别真正的基础设施风险。这似乎还假设,从“什么是风险”的角度来看风险的唯一方法。最糟糕的事情会发生吗?”

在进行风险评估时,Woerner会问两个关键问题:对特定关键资产最可能的威胁是什么,以及资产可能产生的最大影响是什么?他说:“ 塔拉仅解决威胁事件的可能性,而没有考虑风险的影响。”

保罗说,该框架的另一个缺点是它是新的且未经测试。他说:“关于人们使用该产品的消息很少。” “ 塔拉似乎也是另一种定性方法,而不是可用于定量分析的方法。”

版权© 2010 IDG通讯,Inc.

1 2 Page 2
第2页,共2页