信息风险因子分析 (FAIR) 或任何风险价值 (VaR) 模型，无论是基于 MC（蒙特卡洛方法）、贝叶斯统计还是其他健全的变量处理、模型绑定、公式化风险分析——任何这些都将最终是更有效的风险计算。

如果您是 ISC2 的成员（例如 CISSP），您可以查看 PivotPoint Analytics 的 CyVaR（以前是 Cyber​​Point Intl，但现在是其中的一个部门）——http: //go.pivotpointra.com/lp-isc2-member -益处

CyVaR 与RiskLens类似，是一种将信息风险纳入 VaR 模型的方法。以下三本书中也有大量信息（提高效率）：

1. 衡量和管理信息风险
2. 网络风险信息学：数据科学的工程评估
3. 如何衡量网络安全风险中的任何内容

第一本书将是今天三本书中最可操作的，但这可能很快就会改变。在本书中，您通常会看到漏洞被视为一个称为Vulnerability的单个变量，它是几个变量中的一个，可以上升到 FAIR 的可能性版本，FAIR 标准将其称为损失事件频率。

关于损失事件频率 (LEF)，您需要了解的是，LEF 不仅指示“可能性”，还指示“频率的频率”。如果某个事件“可能”发生在今天、本周、本月、今年、本十年或其他未指定的日期，则通用可能性变量将使提问者悬而未决。它没有说会发生多少确切的事件。LEF 改变了这一切——它使决策者能够了解损失事件发生的频率和次数（例如，每年）。

虽然我不太可能在这个单一答案中说服您，但Vulnerability变量很难通过缓解来控制（Open FAIR 标准将这些称为漏洞控制），这会影响潜在的Difficulty变量。如果威胁社区 (TCom) 的威胁能力(TCap) 变量克服了难度变量，那么任何具有足够高级 TCap 的 TCom 都将导致漏洞上升到 90% 以上（通常达到 100%），因此几乎肯定会发生损失事件在 LEF 方程的这一边。

让我为您说明这一点。假设 Dukes（又名 CozyBear aka APT 29）决定网络应用程序入口点将授予他们针对目标美国金融服务公司的网络外壳。Dukes 的一些官员（即处理人员）已经让东欧的一些机密资产相信他们正在参与一个在线梳理论坛。其中一项资产具有一定的 webappsec 经验，并获得了最新版本的完全破解的 webappsec 扫描程序 Acunetix。该资产根据处理者提供给参与者的金融服务网站列表运行它，后者使用以前的机密资产团队进行必要的侦察，以建立他们引以为豪的列表。

大约三周后，该资产确信可以使用许多 webappsec 漏洞来上传 webshel​​l，但其中一些是 SQL 注入并且具有非标准的 RDBMS 后端，例如 PGSQL 和 DB2。也许其中之一也有一个网络应用防火墙（WAF）。东欧资产没有 TCap 来绕过 WAF 或通过这些向量加载 web shell。然而，在通过论坛（我们的二级 TCom）向上链报告并返回到 Dukes（主要 TCom）之后，Dukes 拥有绕过 WAF 的必要才能（例如，他们针对目标的 WAF 构建的自定义篡改脚本使用sqlmap 的修改版本）以及对如何针对 PGSQL 和 DB2 后端构建 Web shell 的理解。因此，Dukes TCom 的 TCap 高到足以绕过所有困难。

在这种情况下，目标 Web 服务器碰巧也通过 BeyondTrust PowerBroker 或 winbind 连接到至少一个 Microsoft 域，Dukes 利用 getent(1) 实用程序转储用户并通过 SMBRelay 横向移动到网络中贾斯布格。假设域与 Microsoft Forest 建立信任关系，最终授予 Dukes Forest 管理员访问权限，因此可以读写所有域，包括托管服务的域，例如 SAP ERP 和 SAP S/4 HANA，以及 Oracle Hyperion、HMIS、Essbase 和 JDE。除了财务记录、公司范围的财务服务和知识产权之外，这些服务还托管包含员工、合作伙伴、承包商和客户记录的数据库。这一点，Dukes 安装了持久层，使他们能够充当平均寿命为 5 年（通常为 3-9 年）的系统管理员。此时，VaR 是整个公司的收入增长——所有销售额；其所有创收业务。

你认为这种情况很关键吗？您在妥协评估报告中使用粗体还是红色？根据 FAIR，VaR 应以货币金额显示，例如美元。

CVSS 往往是几乎所有漏洞报告中使用的风险评级模型。

Microsoft 的 SDL 中提到的一种模型称为DREAD

这主要在威胁建模阶段用于衡量软件设计中的潜在风险，但它也可以适应漏洞。 这是另一个关于 DREAD 的有用链接。

CVSS 很受欢迎。许多组织都使用 CVSS，例如 Acunetix 和 IBM App Scan。尽管 Web Inspect 和 Burp Suite 也是 Web 应用程序扫描仪，但它们利用研究人员的经验来确定发现的严重性。CVSS v3 比 CVSS v2 有很大的改进，更适合 Web 应用程序漏洞。

根据我在配置管理系统上工作的经验，除了您提到的那些之外，这些是企业通常使用的指标：

• PCI DSS ( https://www.pcisecuritystandards.org/ ) [支付行业使用，顾名思义]
• CVE ID ( https://cve.mitre.org/ ) [主要由政府组织和承包商使用]

您可以通过以下方式进行威胁评估：

1. 准备要测试的漏洞列表
2. 为每个漏洞分配风险因素
3. 运行配置管理工具，你会得到你的威胁因素

一些示例工具： Nessus 漏洞扫描器和Qualys Web 应用程序扫描器