超级会员免费看
基于响应投资回报率指数的个体对策选择
1. 引言
当前,安全信息和事件管理系统(SIEMs)是现代安全运营中心的核心平台。它能收集各类传感器的事件,对这些事件进行关联,并提供用于威胁处理和安全报告的综合视图。
传统上,SIEM 技术研究侧重于对威胁进行全面解读,评估其重要性并相应地确定响应优先级。然而,在许多情况下,威胁响应仍需人工进行分析和决策,这一过程缓慢且成本高,还容易出错。因此,近期 SIEM 技术研究聚焦于自动化选择和部署对策的能力。
此前虽有人提出自动响应机制,如调整安全策略,但这些方法未分析所选对策对缓解攻击的影响。本文提出一种新颖且系统的方法,从候选对策中选择最优对策,依据是其阻止攻击的效率和为正常用户提供最佳服务的能力之间的权衡。
2. 影响分析的现状
为平衡入侵损害和响应成本,确保在不牺牲系统功能的前提下选择最合适的响应,一些作者提出了成本敏感指标,如下表所示:
| 模型 | 主要关注点 | 公式 | 最优解决方案 | 特点 | 限制 |
| — | — | — | — | — | — |
| 投资回报率(ROI) | 安全解决方案成本(SecCost)、有效性 | (Benefit - SecCost) / SecCost | 最高 ROI 值 | 评估商业投资的财务后果 | 不能用于评估不采取行动的情况;难以准确预测攻击者行为;不考虑附带损害和运营成本 |
| 攻击回报率(ROA) | 攻击收益(Att Gain)、攻击成本(Att Cost)、因安全措施导致的损失(SecLoss) | Att Gain / (Att Cost + SecLoss) | 最低 ROA 值
订阅专栏 解锁全文
扫一扫
595
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
