Como priorizar as vulnerabilidades de segurança do seu sistema

Priorizando as vulnerabilidades de segurança que você encontra é fundamental, porque muitas questões podem não ser solucionáveis, e outros podem não valer a pena fixação. Você pode não ser capaz de eliminar algumas vulnerabilidades devido a várias razões técnicas, e você pode não ser capaz de dar ao luxo de eliminar outros. Ou, simplesmente, o suficiente, sua empresa pode ter um certo nível de tolerância ao risco. Cada situação é diferente.

Você precisa fator se o benefício vale a pena o esforço e custo. Por outro lado, passar algumas semanas de tempo de desenvolvimento para corrigir cross-site scripting e vulnerabilidades de injeção SQL pode valer muito dinheiro, especialmente se você acabar ficando dinged por terceiros ou perder potenciais clientes. O mesmo vale para dispositivos móveis que todo mundo jura não contêm informações confidenciais.

Você precisa estudar cada vulnerabilidade cuidadosamente, determinar o risco do negócio, e pesar se o problema é no valor de fixação.

É impossível - ou pelo menos não vale a pena tentar - para corrigir cada vulnerabilidade que você encontra. Analise cada vulnerabilidade com cuidado e determinar suas piores cenários. Então você tem cross-site request forgery (CSRF) na interface web da sua impressora? Qual é o risco do negócio? Talvez FTP está sendo executado em vários servidores internos. Qual é o risco do negócio? Para muitas falhas de segurança, você encontrará provavelmente o risco não é apenas lá.

Com a segurança - como a maioria das áreas da vida - você tem de se concentrar em suas tarefas mais elevados de recompensa. Caso contrário, você vai dirigir-se nozes e provavelmente não vai chegar muito longe em atender suas próprias metas. Aqui está um método rápido de usar ao priorizar suas vulnerabilidades. Você pode ajustar esse método para acomodar suas necessidades. Você precisa considerar dois fatores principais para cada uma das vulnerabilidades que você descobre:

  • Probabilidade de exploração: Qual é a probabilidade de que a vulnerabilidade específica que você está analisando vai ser aproveitado por um hacker, um usuário malicioso, malware, ou alguma outra ameaça?



  • Impacto se explorada: Como prejudicial seria se a vulnerabilidade que está analisando foram exploradas?

Muitas vezes as pessoas ignorar essas considerações e assumir que cada vulnerabilidade descoberta tem de ser resolvido. Grande erro. Só porque uma vulnerabilidade é descoberta não significa que se aplica à sua situação particular e meio ambiente. Se você entrar com a mentalidade de que cada vulnerabilidade serão abordados, independentemente das circunstâncias, você vai perder muito tempo desnecessário, esforço e dinheiro, e você pode configurar o seu programa de avaliação de segurança para o fracasso no longo prazo.

No entanto, tome cuidado para não balançar muito longe na outra direção! Muitas das vulnerabilidades não aparecem muito sério na superfície, mas poderia muito bem ter sua organização em água quente, se eles estão explorados. Cavar fundo e usar algum senso comum.

Posição cada vulnerabilidade, usando critérios tais como alta, média e baixa ou uma classificação de 1-through-5 (em que 1 é a mais baixa prioridade e 5 é a mais elevada) para cada uma das duas considerações. A seguir, há uma tabela de exemplo e uma vulnerabilidade representante para cada categoria.

priorizando Vulnerabilities
alta ProbabilidadeProbabilidade médiobaixa Probabilidade
Alto impactoinformações confidenciais armazenadas em um laptop sem criptografiaTape backups externos tomados para que não são criptografados e / ou
protegido por senha		Nenhuma senha de administrador em um sistema interno SQL Server
Impacto médioos e-mails não codificados contendo informações sensíveis sendo
enviei		Faltando patch do Windows em um servidor interno que pode ser
exploradas usando Metasploit		Não há senhas necessárias em vários administrador do Windows
contas
Baixo impactoassinaturas de vírus desatualizado em um PC autônomo dedicados a
navegar na internet		Funcionários ou visitantes tenham acesso à rede não autorizadocifras de criptografia fracos sendo usado em um site de marketing

A prioridade vulnerabilidade mostrado baseia-se no método qualitativo de avaliar os riscos de segurança. Em outras palavras, é subjetiva, com base no seu conhecimento dos sistemas e vulnerabilidades. Você também pode considerar quaisquer classificações de risco que você começa a partir de suas ferramentas de segurança - só não confiar apenas sobre eles, porque um fornecedor não pode fornecer rankings finais de vulnerabilidades.


Publicações relacionadas
Vulnerabilidades de segurança em sistemas móveis
Vulnerabilidades de segurança baseadas em servidor
Evite hacks em estações de trabalho sem fio vulneráveis
Medidas contra definições de configuração padrão hacks
Execução dos vários testes que segurança em seu próprio ambiente
Hacking a internet das coisas
Hacking ferramentas que você não pode viver sem
Sistemas de endurecer contra vulnerabilidades de segurança
Como a puxar os resultados dos testes de segurança em conjunto para relatar
Conheça os seus vulnerabilidades de segurança física para evitar hacks
Conheça os seus vulnerabilidades de infra-estrutura de rede para evitar hacks
Dicas para avaliações de segurança bem sucedido
Ferramentas para evitar rede de hackers
Ferramentas de teste de segurança de aplicativos web para identificar vulnerabilidades
Avaliar as vulnerabilidades com hacks éticos
Hacks cross-site scripting em aplicações web
Executar scans autenticadas contra sistemas windows
Executar varreduras autenticadas para evitar hacks em sistemas windows
Digitalizar sistemas para detectar e proteger contra vulnerabilidades do windows
Noções básicas de segurança em dispositivos móveis que utilizam ios