Como priorizar as vulnerabilidades de segurança do seu sistema
Priorizando as vulnerabilidades de segurança que você encontra é fundamental, porque muitas questões podem não ser solucionáveis, e outros podem não valer a pena fixação. Você pode não ser capaz de eliminar algumas vulnerabilidades devido a várias razões técnicas, e você pode não ser capaz de dar ao luxo de eliminar outros. Ou, simplesmente, o suficiente, sua empresa pode ter um certo nível de tolerância ao risco. Cada situação é diferente.
Você precisa fator se o benefício vale a pena o esforço e custo. Por outro lado, passar algumas semanas de tempo de desenvolvimento para corrigir cross-site scripting e vulnerabilidades de injeção SQL pode valer muito dinheiro, especialmente se você acabar ficando dinged por terceiros ou perder potenciais clientes. O mesmo vale para dispositivos móveis que todo mundo jura não contêm informações confidenciais.
Você precisa estudar cada vulnerabilidade cuidadosamente, determinar o risco do negócio, e pesar se o problema é no valor de fixação.
É impossível - ou pelo menos não vale a pena tentar - para corrigir cada vulnerabilidade que você encontra. Analise cada vulnerabilidade com cuidado e determinar suas piores cenários. Então você tem cross-site request forgery (CSRF) na interface web da sua impressora? Qual é o risco do negócio? Talvez FTP está sendo executado em vários servidores internos. Qual é o risco do negócio? Para muitas falhas de segurança, você encontrará provavelmente o risco não é apenas lá.
Com a segurança - como a maioria das áreas da vida - você tem de se concentrar em suas tarefas mais elevados de recompensa. Caso contrário, você vai dirigir-se nozes e provavelmente não vai chegar muito longe em atender suas próprias metas. Aqui está um método rápido de usar ao priorizar suas vulnerabilidades. Você pode ajustar esse método para acomodar suas necessidades. Você precisa considerar dois fatores principais para cada uma das vulnerabilidades que você descobre:
Probabilidade de exploração: Qual é a probabilidade de que a vulnerabilidade específica que você está analisando vai ser aproveitado por um hacker, um usuário malicioso, malware, ou alguma outra ameaça?
Impacto se explorada: Como prejudicial seria se a vulnerabilidade que está analisando foram exploradas?
Muitas vezes as pessoas ignorar essas considerações e assumir que cada vulnerabilidade descoberta tem de ser resolvido. Grande erro. Só porque uma vulnerabilidade é descoberta não significa que se aplica à sua situação particular e meio ambiente. Se você entrar com a mentalidade de que cada vulnerabilidade serão abordados, independentemente das circunstâncias, você vai perder muito tempo desnecessário, esforço e dinheiro, e você pode configurar o seu programa de avaliação de segurança para o fracasso no longo prazo.
No entanto, tome cuidado para não balançar muito longe na outra direção! Muitas das vulnerabilidades não aparecem muito sério na superfície, mas poderia muito bem ter sua organização em água quente, se eles estão explorados. Cavar fundo e usar algum senso comum.
Posição cada vulnerabilidade, usando critérios tais como alta, média e baixa ou uma classificação de 1-through-5 (em que 1 é a mais baixa prioridade e 5 é a mais elevada) para cada uma das duas considerações. A seguir, há uma tabela de exemplo e uma vulnerabilidade representante para cada categoria.
alta Probabilidade | Probabilidade médio | baixa Probabilidade | |
---|---|---|---|
Alto impacto | informações confidenciais armazenadas em um laptop sem criptografia | Tape backups externos tomados para que não são criptografados e / ou protegido por senha | Nenhuma senha de administrador em um sistema interno SQL Server |
Impacto médio | os e-mails não codificados contendo informações sensíveis sendo enviei | Faltando patch do Windows em um servidor interno que pode ser exploradas usando Metasploit | Não há senhas necessárias em vários administrador do Windows contas |
Baixo impacto | assinaturas de vírus desatualizado em um PC autônomo dedicados a navegar na internet | Funcionários ou visitantes tenham acesso à rede não autorizado | cifras de criptografia fracos sendo usado em um site de marketing |
A prioridade vulnerabilidade mostrado baseia-se no método qualitativo de avaliar os riscos de segurança. Em outras palavras, é subjetiva, com base no seu conhecimento dos sistemas e vulnerabilidades. Você também pode considerar quaisquer classificações de risco que você começa a partir de suas ferramentas de segurança - só não confiar apenas sobre eles, porque um fornecedor não pode fornecer rankings finais de vulnerabilidades.