手把手教你实现有效的漏洞评估
手把手教你实现有效的漏洞评估
2016-05-17 16:40:38 来源:TechTarget中国
抢沙发
2016-05-17 16:40:38 来源:TechTarget中国
摘要:为对付日益增长的网络攻击,许多公司聘用了首席信息安全官(CISO)。CISO的职责就是确保数据的安全性。但频繁发生的数据泄露事件说明,实现数据安全任重而道远。
关键词:
漏洞
信息安全
6.确认已经部署了哪些控制
评估者要注意已经部署的安全和业务连续性措施,其中包括策略、防火墙、应用防火墙、入侵检测和防御系统、虚拟私有网络(VPN)、数据泄露预防(DLP)、加密,等等,以便于保护每一种保存关键应用和数据的服务器和存储设备。要理解这些保护的关键功能,以及这些保护可以最有效地解决哪些漏洞。这些工作可能要求广泛调查,其中包括扫描网站、与安全公司的员工交流,等等。
7.运行漏洞扫描
在理解了应用程序和数据流及其底层的硬件、网络基础架构、保护机制等之后,就可以真正实施漏洞扫描了。
8.将业务和技术应用到扫描结果
扫描器可能会产生大量的有不同严重程度的漏洞,但是由于结果和评级是基于客观衡量过程的,所以决定企业的业务和基础架构的环境是很重要的。从漏洞数据中获得有意义的和可操作的信息是非常复杂和困难的任务。在评估员工的知识水平和工作量后,评估者可能会认为,与一个精通安全和威胁评估的公司进行合作是很重要的。不管评估者是在公司内部来评估,还是由外部人员评估,评估者都需要对结果进行分析,并决定应当首先解决哪些基础架构的漏洞。在此,评估者需要考虑五个问题:
首先是漏洞所涉及的资产的数量和重要性
如果漏洞影响到多种不同的资产,尤其是那些涉及到关键任务过程的资产,评估者就应当立即全面的解决这个漏洞。另一方面,如果漏洞扫描器在基础架构中找到了多个漏洞,而此基础架构运行的是一些由少量用户访问的不太重要的应用程序,这些漏洞就不属于需要迫切解决的漏洞。
已有控制
如果扫描所确认的漏洞影响到了已部署过多层保护的基础架构,这些漏洞有可能已经被已有的技术解决了。例如,如果在一个服务器或存储设备上发现了一个受到应用防火墙、加密和其它措施保护的漏洞,尤其在数据的使用受到了严格的合规限制时,这个漏洞就不如测试和开发环境中保护程度不够健全的基础架构中的漏洞重要。很重要的一点是,要权衡漏洞的严重程度,并决定哪些漏洞会真正地将企业暴露给外部的网络攻击。
可用的安全技术
评估者的漏洞评估报告有可能提供了很多软件补丁和升级建议,但是不断地应用补丁和升级会消耗IT的大量时间和资源。还可能存在其它的更高效的安全技术。例如,对于跨站脚本攻击漏洞,我们可以通过合理地部署WEB应用防火墙来解决,而不必不断地给多个组件应用补丁和升级程序。问题的关键是,评估者要理解在实施某些安全技术和策略时,风险状态会发生怎样的改变。
位置
网络攻击经常利用基础架构中最薄弱的链条,并且这些薄弱的链条往往出现在分公司、移动设备(包括笔记本电脑、智能手机、平板电脑等)以及由销售和营销人员所使用的其它设备。如果扫描显示在分公司或另一个基础架构中存在大量漏洞,评估者就需要进一步调查和实施更多保护措施。
关注环境的重要性
只有将漏洞扫描的结果放在业务背景下,并且考虑已有的安全基础架构时,漏洞扫描才会产生真正的价值。在分析评估结果时要牢记业务风险意识,并且将这种观念应用到强健的安全策略的制定中,由此,CISO和其它的IT管理员才能帮助企业充分利用安全预算,并强化总体的安全和合规形势。
第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
