Risk Mitigation 风险缓解

通过措施降低风险发生概率或影响的过程。 是 risk 4 种应对方式(Accept / Avoid / Transfer / Mitigate)中最常用的一种。

常见 mitigation 手段

• 预防性 —— 装防火墙、加密、培训、打补丁
• 检测性 —— SIEM、IDS、日志审计
• 响应性 —— 事件响应、备份、业务连续性计划

别陷入误区

• mitigation 不等于 把风险降到 0 —— 那是不可能的
• 目标是把 residual risk 降到组织能 accept 的水平
• 投入产出比要算 —— 防一个 10K 美元损失花 100K 美元不值

跟 Security Controls 的关系

• security controls 是手段(具体的工具/规则)
• risk mitigation 是过程(用这些手段去降风险)