58码农网 > 码农学院 >

在威胁建模中的发现了多个攻击向量（attack vectors），要如何操作（优先顺序）才能解决攻击面？

用户投稿发布于2024-05-27

优先顺序需要基于一些标準。通常基于风险敞口对风险进行优先级排序，同时考虑风险的可能性和影响。
例如，风险可能性为70％，估计损失为100,000美元，则风险敞口为70,000美元。
建议的顺序如下：

计算每个攻击向量的风险暴露对攻击向量进行优先级排序评估并确定要解决的攻击面範围提交变更请求以修改建筑设计

http://img2.58codes.com/2024/20132160lTYxcNcabk.jpg

攻击向量(Attack Vector)
在威胁建模中，威胁场景可以表示为攻击向量，它是“攻击用来访问漏洞的整个路径的一部分”。（NIST SP 800-154）

攻击面(Attack Surface)
信息系统的攻击面是“使这些系统更容易受到网络攻击的暴露区域”。（NIST SP 800-53 R4）
暴露区域是可访问区域，通常是输入和输出的接口点，信息系统中的弱点或不足为攻击者提供了利用漏洞的机会。
简而言之，攻击面是已识别攻击向量的总和。

参考
.CISSP实践问题– 20200423

资料来源： Wentz Wu QOTD-20201123

点赞(111)

关于作者: 网站小编

码农网专注IT技术教程资源分享平台,学习资源下载网站,58码农网包含计算机技术、网站程序源码下载、编程技术论坛、互联网资源下载等产品服务,提供原创、优质、完整内容的专业码农交流分享平台。