Day19：風險識別、評估和處理

16th鐵人賽

522 瀏覽

H1Day19：風險識別、評估和處理

企業在識別風險時，有三點需要注意：

正確辨識風險並清楚傳達風險：
（1）痛苦金字塔：資安人員可以在「VirusTotal」等網站輸入雜湊值（Hash Value）、IP、網址（Domain Name）等，其運作機制是和各資安合作廠商合作，對網頁、檔案做出評等，例如如果某檔案被評比為惡意檔案，則資安人員應禁止組織內成員執行該檔案。痛苦金字塔中越高層級被資安人員掌握，對於對手（駭客）而言其困擾（痛苦）就越高。例如資安人員對組織內宣導，在領英和臉書交友時，須注意新加坡或香港人，職業為合夥人，每天貼喝下午茶的照片，並宣稱與香港證交所高層認識，只要投資股票就可以財富自由。這個就是典型的TTPS（戰術、戰略和程序），可以使詐騙集團（或駭客）難以攻擊企業的資訊資產（包含人員）