評估您的風險

想要保護您所有資料,永遠不被任何人窺探,是不切實際而且累人的。不過別怕!安全性是一個過程,透過縝密的計畫,您可以評估什麼才適合您。安全性與您使用的工具或下載的軟體無關,而是從了解您所面臨的特殊威脅,以及如何對抗這些威脅開始。

在電腦安全的領域,威脅是指任何可能破壞你對資料所實施的保護之潛在事件。您可以藉由確定您需要保護的內容及需要防範的對象,來應對您面臨的威脅。這個過程稱為「威脅模型」。

本指引將教你如何建置威脅模型,或者如何評估您的數位資訊風險,以及如何確定哪些解決方案最適合您。

威脅模型是什麼樣子?假設您想維護房子和財產安全,您可能會問以下幾個問題:

我家裡有什麼值得保護的東西?

  • 資產可能包括:珠寶、電子產品、財務文件、護照或照片

我想防範誰?

  • 敵人可能包括:竊賊、室友或訪客

我需要保護它的可能性有多大?

  • 我的社區過去曾經遭竊嗎?我的室友/訪客有多值得信賴?我的敵人有什麼能力?我應該考慮哪些風險?

如果我失敗了,後果會有多糟?

  • 我的房子裡有什麼我無法替代的東西嗎?我有時間或金錢來替換這些東西嗎?我有為家裡遭竊的物品買保險嗎?

我願意為防止這些後果,付出多少心力?

  • 我願意為機密文件購買保險箱嗎?我買得起高品質的鎖嗎?我有時間在當地銀行開設保險箱,並將貴重物品存放在那裡嗎?

問過自己這些問題後,您就可以評估要採取什麼措施。如果您的財產很有價值,但是被闖入家門的風險很低,那麼您可能不會想花太多錢買鎖。但是,如果風險很高,您就會想要獲得市面上最好的鎖,並考慮加裝保全系統。

建構威脅模型可以幫助您了解您所面臨的特殊威脅、並幫助您評估您的資產、敵人、敵人的能力,以及您所面臨的風險可能性。

什麼是威脅模型,我該從何著手?Anchor link

威脅模型可幫助您找出您所重視之事物所受到的威脅,並確認您需要防範的對象。建構威脅模型時,要思考這五個問題:

  1. 我想保護什麼?
  2. 我想防範誰?
  3. 如果我失敗了,後果會有多糟?
  4. 我需要保護它的可能性有多大?
  5. 我願意為試圖防止可能產生的後果,付出多少心力?

讓我們仔細看看這些問題。

我想保護什麼?

資產」是指您重視和想要保護的東西。在數位安全的領域,資產通常是某種資訊。例如,您的電子郵件、聯絡人列表、即時通訊訊息、所在位置和文件都可能是資產。您的裝置也可能是資產。

列出您的資產:您保存的資料、保存的位置、誰有存取權限,以及什麼方法能防止他人存取。

我想防範誰?

要回答這個問題,必須確定誰可能以您或您的資訊為目標。對您的資產構成威脅的個人或實體稱為「敵人」。例如您的老闆、以前的合作夥伴、商業競爭敵人、政府,或公用網路上的駭客,都是您的潛在敵人。

列出您的敵人,或那些可能想要得到您資產的人。您的名單可能包括個人、政府機構或公司。

視您的敵人是誰而定,在某些情況下,完成威脅模型後,您可能會想銷毀這個列表。

如果我失敗了,後果會有多糟?

敵人有很多方法可以對您的資料構成威脅。例如,他們可以讀取您在網路上傳送的私人通訊,或者刪除、破壞您的資料。

敵人的動機差別很大,他們的攻擊也是如此。試圖阻止警察暴力影片散播的政府,可能只會簡單地刪除或讓影片難以取得。相比之下,政治敵人可能會希望存取祕密內容,並在您不知情的情況下發布。

威脅模型攸關了解如果敵人成功攻擊您的資產,會產生多糟糕的後果。要確定這一點,您應該考量敵人的能力。例如,由於您的電信公司可以存取您的所有通話紀錄,他們就可以使用這些資料來對您不利。開放 Wi-Fi 網路上的駭客可以存取未加密的通訊。您的政府可能有更強大的能力。

寫下您的敵人可能會對您的私人資料作出的事。

我需要保護它的可能性有多大?

風險是指對特定資產實際產生特定威脅的可能性。它與能力彼此相關。雖然您的電信商有能力存取您的所有資料,但他們在網上發布您的私人資料、損害您聲譽的風險很低。

區分威脅和風險很重要。威脅是可能發生的一件壞事,威脅發生的可能性就是風險。例如,您的房子可能有倒塌的威脅,但在舊金山 (地震普遍) 比在斯德哥爾摩 (地震不普遍) 的風險更大。

進行風險分析是既個人又主觀的過程;面對威脅,不是每個人的優先順序都一樣,或是都抱持同樣的看法。許多人認為某些威脅無論風險如何都是不可接受的,因為只要有威脅存在,代價就會無法承擔。在其他情況下,高風險會遭到忽視,因為利害關係人不把威脅視為問題。

寫下您要認真對待的威脅,以及可能太罕見或影響不大 (或者太難對付) 而毋須擔心的威脅。

我願意為試圖防止可能產生的後果,付出多少心力?

要回答這個問題,需要進行風險分析。面對威脅,不是每個人的優先順序都一樣,或是都抱持同樣的看法。

例如在國家安全案件中,代表客戶的律師可能會比定期以電子郵件發送有趣貓咪影片給女兒的母親,願意花更多力氣來保護有關該案件的通訊,例如使用加密電子郵件。

寫下您可用的選項,以幫助減輕您的特殊威脅。如果您有任何財務限制、技術限制或社會約束,請特別注意。

讓建構威脅模型成為例行做法 Anchor link

請記住,您的威脅模型可能隨著您的情況變化而改變。因此,頻繁進行威脅模型評估是一個很好的做法。

根據您自己的獨特情況建立威脅模型,然後在日曆上標記一個未來的日期。這會提醒您查看您的威脅模型並重新檢查,以評估它是否還符合您的情況。

上次查閱: 
2017 年 9 月 7 日