(2)Mitre Att&CK :MITRE 是美國的非營利組織,為美國政府進行各項先進技術研究,資安更是其重點研發的一環。MITRE 於2013年推出了 ATT&CK (Adversarial Tactics, Techniques & Common Knowledge)概念,旨在協助企業組織有共通的語言與架構,了解與分析網路攻擊手法,進而規劃資安對策。Mitre即試圖讓分析報告有一致的語言,Techniques (技術手法)提供描述、範例、參考、緩解與檢測的建議。以往在撰寫資安事件攻擊分析報告時,許多的專有名詞和報告者自行撰寫描述的名詞,造成分析報告難以結構化、難以比較。而有了MitreAtt&CK後,報告的可比較性有很大的提升。
(3)CVSS :CVSS(Common Vulnerability Scoring System)是一種被廣泛使用的漏洞評分標準,用於衡量資訊安全漏洞的嚴重程度。它是由美國國家基礎建設諮詢委員會(National Infrastructure Advisory Council, NIAC)所發起,並已成為資安領域中標準的評估工具。CVSS 提供了一個統一的評估方法,幫助資安專業人員更全面地理解軟體漏洞的衝擊程度,從而更好地制定應對策略。CVSS 評分是基於漏洞的技術細節和相關屬性,如攻擊向量、攻擊複雜性、機密性、完整性和可用性等。這些指標經過權重計算,產生一個基礎評分。此外,CVSS 還考慮了漏洞的時間評分和環境評分,以更好地反映漏洞在特定環境中的風險。
(4)內部網站與刊物:為了傳達風險,組織可以善用內部網站和組織刊物,確保新進人員、異動人員甚至是離職人員、外包廠商、約聘人員都能夠得知組織對於保護重要資訊資產的規定和努力。