漏洞风险评估的 5个教训

安全资讯 小布 274浏览 0评论

他们说企业可称为任何东西:船、波涛、自然的力量。就我而言,经营一家企业就像从高楼跳下,祈祷下面有一个安全网。不管您是想成为托尼·斯塔克 (Tony Stark) 的人仍是走钢丝的人,您都必须应对危险。在网络安全范畴,危险是您作业要求的一部分,而知道如何应对它会让世界变得截然不同。关于(网络)安全的鲜为人知的事实是,没有防弹系统这样的东西。总会有那些被忽视的小细节可以(并且将会)用于对您的公司不利。

我记得在某处读到过,作为一家企业,揭露透明 – 发布名字、电子邮件地址、电话号码、交际媒体句柄等详细信息 – 可能对您的事业不利。此外,在同一篇文章中,作者提到了经过简略地在谷歌地图上查找上述业务,可以辨认至少三个业务痛点。尽管听起来令人难以置信,但这个“微小”的细节可能会使您的轻松作业付出代价,并且可能会因诉讼和介于两者之间的全部而导致全公司范围的灾祸。

作为系统办理员,您需要定时进行风险评估并漏洞管理。依据贵公司的方案,这些评估可所以每月一次、每两年一次或每两月一次。当然,最好尽可能频繁地进行漏洞风险评估。

什么是 (a) 漏洞风险评估?

依据SANA研究所关于IT分析评估、漏洞管理的论文是识别和评价安全危险的过程。基于此评价,办理层可以决定消除已识别的危险或随之而来。后一个决定应附有关于基于危险的脆弱性办理的几项主张。我提出您注意这篇论文是有原因的——评价频率难题。应该多久进行一次这些评估?好吧,在一个完美的系统管理员世界中,这个问题的答案是“每个(奇数)个月”。为什么?因为跟着检测之间的时刻缩短,您必须有更多的时刻来处理这些问题,当然还要避免其他问题。如果您履行较少的评估(例如,每年两次),您的漏洞就会复杂化。

在实践中,漏洞管理过程包括五个步骤(或阶段)。它们如下:

  1. 准备。
  2. 扫描漏洞。
  3. 定义解决问题的行动。
  4. 执行。
  5. 重新评估。

准备

准备是指你如何定义这项努力的目的。有必要吗?我会说它有必要。有很多地方需要涵盖,我的意思是,如果不加以照顾,每台设备、软件和透露的每一点信息都可能成为一种负担。所以,为了让事情变得简单,从一个小型网络开始,然后从那里开始。确定要运行的漏洞扫描类型也是准备阶段的一部分。关于这一点,您应该了解内部和外部扫描之间的差异。

内或外;有关系吗?当然,的确如此。在履行外部扫描时,您将扮演攻击者的人物,企图获得对公司网络的拜访权限。这种类型的网络安全态势答应您探测根据边界的防护,例如防火墙、IDS – IPS(入侵防护体系和入侵防护体系)、根据主机的安全操控和 Web 应用程序防火墙。就内部扫描而言,此操作的意图是测试体系的架构并确定每一层的安全性。在道德黑客攻击中,这称为深度防护分析。

您最好熟悉的另一个方面是经过身份验证和未经身份验证的扫描之间的区别。在第一种情况下,在登录状态下进行漏洞扫描可以帮助您访问一些否则会被隐藏的系统功能。当然,这种能力无疑会帮助您对系统进行压力测试。在准备第一个漏洞风险评估时请记住这一点。

至此,准备阶段就快完成了。唯一要做的就是通知关键系统所有者有关测试的信息。实际上,这是通过内部备忘录完成的,其中应包含日期、每次测试的估计持续时间,当然还有每次扫描和/或测试的目的。

为了保持整洁,请为此活动创建一个电子表格。使用您最喜欢的应用程序。使用以下信息填充单元格:目标系统的 IP 范围和子网掩码、所述关键系统的所有者、上级部门、计划日期和一些联系方式(例如电子邮件地址或电话号码)。是的,我知道这不是网络安全文章中可能出现的那种事情,但保持井井有条将有助于您加快速度。

扫描漏洞

扫描阶段,使用一个工具或一组工具来缩小漏洞范围。

补救、实施和评估

完成准备和扫描阶段后,您应该期待修复阶段

在修复阶段,您必须记录所有发现,当然,还要为发现的漏洞制定解决方案。在实施和重新评估阶段通常齐头并进。

现在我们已经了解了基础知识,让我们看看那些安全漏洞管理(和风险)课程。

探索企业漏洞风险评估

第 1 课

漏洞风险评估应包括您的业务合作伙伴

网络安全不仅仅是保护您公司的财物。它也应该扩展到您的事务合作伙伴。在起草新的商业伙伴关系合同时,包含一个或多个安全条款。为什么这是必不可少的?因为可能被解释为事务增加的金票,很简单转化为负债。入职流程完毕后,您的合作伙伴将可以访问您公司的虚拟和物理财物。基本上,您将继承您合作伙伴的安全漏洞。现在,为了保护您的财物并防止未来的诉讼,请必须与您的事务合作伙伴评论他们的安全问题。您甚至可以强制执行合同条款以防止将来发生事故。

第 2 课

成本(削减)可能超过收益

有时您必须面对您的公司未走上正轨的事实。必须采取行动,在大多数情况下,这会转化为裁员和可怕的外包。现在,我不是其中任何一个的忠实粉丝,但是你必须做你必须做的事情,即使“要做”意味着放弃一些事情。重新思考部门、重新分配资源和外包服务是必要的,但从网络安全的角度来看并不合理。

预算削减和其他措施可能会损害您的安全。外包也是如此。如果您愿意,将您的宝贵资产委托给第三方是一种极大的勇气。撇开 GDPR 不谈,请记住,您如此愿意将您的敏感数据委托给该公司的公司可能会使用不同的安全标准,这些标准可能与您使用的标准兼容,也可能不兼容。

第 3 课

重新评估和更新您的应急计划。威胁漏洞管理基础知识。

漏洞危险评价不仅限于您的虚拟财物。更好的说法是,VRS 适用于您的事务连续性方案的所有方面。在任何紧急情况下,您的漏洞危险评价会议的成果将帮助您拟定可操作的方案。包含超虚拟财物的 VRS 是怎么回事?火灾是一种危险,而且非常大。当然,这与恶意软件、黑客或网络安全无关——除非建筑物着火并且黑客侵入您的系统并禁用了浇水装置。是的,您的漏洞危险评价应该包含火灾和其他类型的损害,包含网络安全。基于 VRS 成果的应急程序应坚持新鲜并包含更新的威胁。

第 4 课

员工网络意识、最低权限和零信任模型。

当其他一切都失败时,责怪人类。根据 NMS Consulting的一项研究,超过 95% 的成功数据走漏能够追溯到人为错误。我们怎么防止这种状况发生?当然是继续教育。由您的 CTO 或安全官进行的定期网络安全演习无疑会按捺您的职工发痒的扳机手指,显着下降与人为错误相关的危险。如果所有其他方法都失败了,请查看最小权限原则和零信任模型。

第 5 课

修复解决方案以确保所有方面的安全。

请记住,VRS 是一项跨部门和跨公司的工作。换句话说,从网络安全的角度来看,公司应该在所有方面都受到保护。您的努力应包括以下内容:

  • P记录您的系统架构和您的广域网和局域网网络时,AY关注
  • 在调查防火墙和/或路由器时不要忘记登录。结果无疑会让你大吃一惊。
  • 优先事项。首先是关键系统,其次是 IDS 和周边解决方案。
  • 心怀不满的员工是一种责任 (网络安全 101)。
  • 渗透测试。要定期执行。要调查的事项:访问控制、加密、后台 服务、系统进程、电子邮件过滤和AV 解决方案。
  • 网络意识计划应该是重中之重。ç onsider使他们强制性的。
  • 审计与评估。审计应至少每年进行一次,最好由外部安全官进行。评估或多或少是行政任务,为审计做准备。

最后一节课……

不要忘记修复是漏洞管理的重要组成部分。因为预防比修复问题要好得多——也更容易——这里有一些来自”布尔云安”的建议,你的友好社区网络安全供应商。

转载请注明:布尔云安的博客 » 漏洞风险评估的 5个教训

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址