通过漏洞评估识别安全风险

安全资讯 小布 504浏览 0评论

什么是漏洞评估,为什么需要它?

每年都会在软件、系统和 IT 基础设施中发现数以千计的安全漏洞。攻击者利用这些漏洞渗透组织的通信网络并获得对关键资产的访问权限,目的是破坏数据或系统的机密性、完整性和可用性。攻击的动机各不相同,其中包括财务、政治和竞争动机(例如窃取技术)或造成伤害的愿望(例如由愤怒的员工)。

由于安全漏洞会造成巨大的破坏,因此公司必须在它们被利用之前识别并修复它们。

漏洞评估是一种由网络安全专家进行的安全审查,包括与关键人员面谈、动手配置测试和各种无损攻击模拟或其他测试,针对网络中的组件进行。目的是检查组织对安全最佳实践的遵守情况并识别安全漏洞。

漏洞评估提供网络安全级别的整体视图,展示网络面临的威胁和风险,并提供改进与保护公司资产相关的技术(逻辑)、操作(物理)和管理安全控制的建议。

测试方法

根据测试范围和被检查资产的敏感性,可以使用黑/灰/白盒安全评估方法执行漏洞评估。

  • 黑盒安全测试是一种方法,在该方法中,组织共享有关被检查的系统/网络的内部功能的最少信息。
  • 灰盒安全测试是一种方法,在该方法中,组织共享有关系统/网络内部功能的信息,例如设计文档,以及有关系统/网络架构和用户凭据的信息。
  • 白盒安全测试是一种方法,在这种方法中,组织尽可能多地共享有关系统/网络内部功能的信息,例如设计文档以及有关架构的信息、应用程序/网络设备的用户凭据等。

测试阶段和范围

企业网络的漏洞评估包括以下关键阶段:

在漏洞评估期间,将检查以下领域的安全控制,以识别可能危及公司资产机密性、完整性和可用性的任何安全弱点:

风险等级评估

检查已发现的每个漏洞的影响和可能性,以确定它是否对组织/系统构成风险以及该风险的级别。

影响– 表示利用该发现可能造成的估计损害量。

在确定影响级别时,会考虑以下参数:

  • 影响区域:
    • 对保密性的影响(信息披露、数据泄露)。
    • 对完整性的影响(数据更改、数据删除)。
    • 对可用性的影响(拒绝服务、系统故障)。
    • 对不可否认性的影响(缺乏审计跟踪)。
  • 冲击类型:
    • 有形损害(财务/货币)。
    • 无形损害(例如声誉、公众信任)。

可能性– 表示利用漏洞的可能性。

在确定似然水平时考虑以下参数:

  • 所需知识(技术深度、技能、开发的复杂性)。
  • 发生频率(已发生的已知类似攻击的数量)。
  • 可用的 CVE 和工具(现有漏洞和攻击工具)。
  • 攻击者食欲(攻击系统/公司的攻击动机)。
  • 到位的安全控制(管理/操作/技术控制)。

每个发现的风险是根据发现的影响和可能性级别计算的,并根据被评估公司使用的风险矩阵计算风险级别。

报告

评估的最后阶段是撰写报告。这包括编写一份执行摘要,描述已执行的工作及其主要发现,以及对注意到的所有漏洞的深入描述,包括对利用漏洞可能造成的潜在损害的解释以及它被利用的可能性有多大。

所有调查结果都根据风险进行评级,并附有一套明确的建议以减轻调查结果。

转载请注明:布尔云安的博客 » 通过漏洞评估识别安全风险

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址