論文の概要: QuantTM: Business-Centric Threat Quantification for Risk Management and Cyber Resilience
- arxiv url: http://arxiv.org/abs/2402.14140v1
- Date: Wed, 21 Feb 2024 21:34:06 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-25 08:46:38.689199
- Title: QuantTM: Business-Centric Threat Quantification for Risk Management and Cyber Resilience
- Title(参考訳): QuantTM:リスク管理とサイバーレジリエンスのためのビジネス中心の脅威定量化
- Authors: Jan von der Assen, Muriel F. Franco, Muyao Dong, Burkhard Stiller,
- Abstract要約: QuantTMは、脅威情報収集のための運用および戦略的ビジネス代表者の見解を取り入れたアプローチである。
脅威の影響の分析とセキュリティ制御の適用性を高める。
- 参考スコア(独自算出の注目度): 0.259990372084357
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Threat modeling has emerged as a key process for understanding relevant threats within businesses. However, understanding the importance of threat events is rarely driven by the business incorporating the system. Furthermore, prioritization of threat events often occurs based on abstract and qualitative scoring. While such scores enable prioritization, they do not allow the results to be easily interpreted by decision-makers. This can hinder downstream activities, such as discussing security investments and a security control's economic applicability. This article introduces QuantTM, an approach that incorporates views from operational and strategic business representatives to collect threat information during the threat modeling process to measure potential financial loss incurred by a specific threat event. It empowers the analysis of threats' impacts and the applicability of security controls, thus supporting the threat analysis and prioritization from an economic perspective. QuantTM comprises an overarching process for data collection and aggregation and a method for business impact analysis. The performance and feasibility of the QuantTM approach are demonstrated in a real-world case study conducted in a Swiss SME to analyze the impacts of threats and economic benefits of security controls. Secondly, it is shown that employing business impact analysis is feasible and that the supporting prototype exhibits great usability.
- Abstract(参考訳): 脅威モデリングは、企業内の関連する脅威を理解するための重要なプロセスとして登場した。
しかし、脅威イベントの重要性を理解することは、システムを統合するビジネスによって駆動されることはめったにない。
さらに、脅威事象の優先順位付けは抽象的および定性的なスコアに基づいて行われることが多い。
このようなスコアは優先順位付けを可能にするが、結果が意思決定者によって容易に解釈されることは許さない。
これは、セキュリティ投資やセキュリティ管理の経済的適用性について議論するなど、下流活動を妨げる可能性がある。
本稿では、脅威モデリングプロセス中に脅威情報を収集し、特定の脅威イベントによって引き起こされる潜在的金融損失を測定するための、運用および戦略的なビジネス代表者の見解を取り入れたアプローチであるQuantTMを紹介する。
これは、脅威の影響の分析とセキュリティ制御の適用性を強化し、経済的な観点から脅威分析と優先順位付けを支援する。
QuantTMは、データ収集と集約のための包括的なプロセスと、ビジネスインパクト分析のための方法から構成される。
QuantTMアプローチの性能と実現性は、スイスの中小企業で行われた実世界のケーススタディで実証され、脅威の影響とセキュリティコントロールの経済的利益を分析する。
第2に,ビジネスインパクト分析の導入が実現可能であり,支援プロトタイプのユーザビリティが極めて高いことを示す。
関連論文リスト
- QBER: Quantifying Cyber Risks for Strategic Decisions [0.0]
意思決定者が測定可能なリスクメトリクスを提供するために、QBERアプローチを導入します。
QBERは、サイバー攻撃による損失を評価し、既存のサイバーセキュリティ対策に基づいて詳細なリスク分析を行い、完全なコスト評価を提供する。
我々の貢献は、サイバー攻撃の確率とリスクの概要、技術的、経済的、法的影響(TEL)の特定、影響を計測するモデルの作成、リスク軽減戦略の提案、広範囲にわたるサイバーリスク定量化(CRQ)の実施におけるトレンドと課題の調査である。
論文 参考訳(メタデータ) (2024-05-06T14:25:58Z) - Mapping LLM Security Landscapes: A Comprehensive Stakeholder Risk Assessment Proposal [0.0]
本稿では,従来のシステムにおけるリスク評価手法のようなツールを用いたリスク評価プロセスを提案する。
我々は、潜在的な脅威要因を特定し、脆弱性要因に対して依存するシステムコンポーネントをマッピングするためのシナリオ分析を行う。
3つの主要株主グループに対する脅威もマップ化しています。
論文 参考訳(メタデータ) (2024-03-20T05:17:22Z) - Visibility into AI Agents [9.067567737098594]
AIエージェントに対する商業的、科学的、政府的、個人的活動の委譲の増加は、既存の社会的リスクを悪化させる可能性がある。
エージェント識別子,リアルタイム監視,アクティビティログという,AIエージェントの視認性を高めるための3つの尺度を評価した。
論文 参考訳(メタデータ) (2024-01-23T23:18:33Z) - It Is Time To Steer: A Scalable Framework for Analysis-driven Attack Graph Generation [50.06412862964449]
アタックグラフ(AG)は、コンピュータネットワーク上のマルチステップ攻撃をモデル化し分析する最も適したソリューションである。
本稿では,AG生成のための分析駆動型フレームワークを紹介する。
定量的な統計的意義を持つAG生成が完了する前に、リアルタイムな攻撃経路解析を可能にする。
論文 参考訳(メタデータ) (2023-12-27T10:44:58Z) - Automated CVE Analysis for Threat Prioritization and Impact Prediction [4.540236408836132]
CVE分析と脅威優先順位付けに革命をもたらす新しい予測モデルとツール(CVEDrill)を導入する。
CVEDrillは、正確な脅威軽減と優先順位付けのために、CVSSベクターを正確に推定する。
CVEを適切なCommon Weaknession(CWE)階層クラスにシームレスに分類する。
論文 参考訳(メタデータ) (2023-09-06T14:34:03Z) - Designing an attack-defense game: how to increase robustness of
financial transaction models via a competition [69.08339915577206]
金融セクターにおける悪意ある攻撃のエスカレートリスクを考えると、機械学習モデルの敵戦略と堅牢な防御メカニズムを理解することが重要である。
本研究の目的は、逐次的な財務データを入力として使用するニューラルネットワークモデルに対する敵攻撃と防御の現状とダイナミクスを調査することである。
我々は、現代の金融取引データにおける問題の現実的かつ詳細な調査を可能にする競争を設計した。
参加者は直接対決するので、実生活に近い環境で攻撃や防御が検討される。
論文 参考訳(メタデータ) (2023-08-22T12:53:09Z) - Safety Margins for Reinforcement Learning [74.13100479426424]
安全マージンを生成するためにプロキシ臨界度メトリクスをどのように活用するかを示す。
Atari 環境での APE-X と A3C からの学習方針に対するアプローチを評価する。
論文 参考訳(メタデータ) (2023-07-25T16:49:54Z) - On the Security Risks of Knowledge Graph Reasoning [71.64027889145261]
我々は、敵の目標、知識、攻撃ベクトルに応じて、KGRに対するセキュリティ脅威を体系化する。
我々は、このような脅威をインスタンス化する新しいタイプの攻撃であるROARを提示する。
ROARに対する潜在的な対策として,潜在的に有毒な知識のフィルタリングや,対向的な拡張クエリによるトレーニングについて検討する。
論文 参考訳(メタデータ) (2023-05-03T18:47:42Z) - A Survey of Risk-Aware Multi-Armed Bandits [84.67376599822569]
我々は、様々な利害リスク対策をレビューし、その特性についてコメントする。
我々は,探索と探索のトレードオフが現れる,後悔の最小化設定のためのアルゴリズムを検討する。
今後の研究の課題と肥大化についてコメントし、締めくくりに締めくくります。
論文 参考訳(メタデータ) (2022-05-12T02:20:34Z) - Assessing Risks and Modeling Threats in the Internet of Things [0.0]
我々は、敵の資産、敵の行動、悪用可能な脆弱性、あらゆるIoT攻撃の構成要素である妥協されたプロパティを記述したIoT攻撃分類を開発する。
我々は、このIoT攻撃分類を、共同リスク評価と成熟度評価の枠組みを設計するための基盤として利用しています。
このIoTフレームワークの有用性は、複数の製造業者のコンテキストにおけるケーススタディの実装によって強調される。
論文 参考訳(メタデータ) (2021-10-14T23:36:00Z) - Balancing detectability and performance of attacks on the control
channel of Markov Decision Processes [77.66954176188426]
マルコフ決定過程(MDPs)の制御チャネルにおける最適ステルス毒素攻撃の設計問題について検討する。
この研究は、MDPに適用された敵国・毒殺攻撃や強化学習(RL)手法に対する研究コミュニティの最近の関心に動機づけられている。
論文 参考訳(メタデータ) (2021-09-15T09:13:10Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。