優先順序需要基於一些標準。通常基於風險敞口對風險進行優先級排序,同時考慮風險的可能性和影響。
例如,風險可能性為70%,估計損失為100,000美元,則風險敞口為70,000美元。
建議的順序如下:
攻擊向量(Attack Vector)
在威脅建模中,威脅場景可以表示為攻擊向量,它是“攻擊用來訪問漏洞的整個路徑的一部分”。(NIST SP 800-154)
攻擊面(Attack Surface)
信息系統的攻擊面是“使這些系統更容易受到網絡攻擊的暴露區域”。(NIST SP 800-53 R4)
暴露區域是可訪問區域,通常是輸入和輸出的接口點,信息系統中的弱點或不足為攻擊者提供了利用漏洞的機會。
簡而言之,攻擊面是已識別攻擊向量的總和。
資料來源: Wentz Wu QOTD-20201123