מושגי ליבה
微型企業由於缺乏資源和網路安全專業知識,在威脅建模方面面臨獨特挑戰,因此需要一個專門設計的非技術性框架和基於網路的工具來有效評估和減輕網路安全威脅。
文獻回顧
威脅建模框架
本論文回顧了多種威脅建模框架,包括 STRIDE、DREAD、LINDDUN、OCTAVE、Trike、VAST 和 PASTA,分析了它們的特點、優缺點以及對微型企業的適用性。
微型企業面臨的網路安全挑戰
微型企業在網路安全方面面臨著獨特的挑戰,包括預算限制、人員不足、網路安全知識缺乏、安全意識薄弱、員工行為不當以及技術環境不斷變化等。
微型企業可用的威脅建模方法、工具和資源
現有的威脅建模框架和工具大多過於技術性,不適合微型企業使用。OCTAVE-S 是專為小型企業設計的風險管理框架,但對微型企業來說仍然過於複雜。此外,政府機構和網路安全組織也提供了一些指南和資源,但效果有限。
研究方法
本研究採用定性研究方法,分為七個步驟:
對微型企業網路安全現狀進行文獻回顧。
初步定性調查,探討微型企業如何處理網路安全問題以及遇到的困難。
分析初步調查結果,找出問題所在。
找出與微型企業相關的威脅建模框架。
根據研究結果,設計一個非技術性的威脅建模框架。
根據該框架設計一個基於網路的威脅建模工具。
後續調查,了解微型企業對新工具的看法,並評估其對企業網路安全的影響。
設計與實施
SEANCE 微型企業威脅建模框架
SEANCE 是一個專為微型企業設計的全新威脅建模框架,它包含六個層級,分別對應縱深防禦方法:自我、員工、資產、網路、客戶和環境。每個層級都包含需要考慮的關鍵主題和引導性問題,幫助微型企業老闆思考潛在威脅。
基於 SEANCE 框架的網路威脅建模工具
該工具基於 Django Web 框架開發,通過使用者友好的介面引導微型企業老闆回答六個部分的問題,這些問題與 SEANCE 框架的六個層級相對應。工具會根據使用者的回答生成整體評估報告,包括資料流程圖和可操作的建議。
結論
本研究開發了一個專為微型企業設計的非技術性威脅建模框架 SEANCE,以及一個基於該框架的網路威脅建模工具。這些工具旨在幫助微型企業老闆有效評估和減輕網路安全威脅,提高網路安全意識,並改善整體網路安全狀況。
סטטיסטיקה
2023 年,10% 的微型企業經歷過網路犯罪,31% 的微型企業發現了攻擊或漏洞。
2024 年,發現攻擊或漏洞的微型企業比例上升至 47%。
與大型組織相比,小型組織每次資料洩露的平均成本更高。
95% 的英國企業是微型企業。
微型企業佔英國總營業額的 19%,佔總就業人數的 32%。