Video: Primarul sectorului 5: Fiecare dintre noi trebuie să îşi prioritizeze cheltuielile şi investiţiile 2025
Prioritizarea vulnerabilităților de securitate pe care le găsiți este critică, deoarece multe probleme ar putea să nu poată fi reparate și altele nu ar putea fi în valoare. S-ar putea să nu reușiți să eliminați unele vulnerabilități din diferite motive tehnice și este posibil să nu vă puteți permite să eliminați alții. Sau, pur și simplu, afacerea dvs. poate avea un anumit nivel de toleranță la risc. Fiecare situație este diferită.
Trebuie să stabiliți dacă beneficiul merită efortul și costul. Pe de altă parte, cheltuind câteva săptămâni de timp pentru a repara script-urile încrucișate și vulnerabilitățile SQL de injectare ar putea fi în valoare de o mulțime de bani, mai ales dacă ați terminat de a obține dinged de terți sau de a pierde potențialii clienți. Același lucru este valabil și pentru dispozitivele mobile pe care toată lumea jura că nu le conțin informații sensibile.
Trebuie să studiați cu atenție fiecare vulnerabilitate, să determinați riscul de afaceri și să cântăriți dacă problema este în valoare de fixare.
Este imposibil - sau cel puțin nu merită să încercați - să remediați fiecare vulnerabilitate pe care o găsiți. Analizați fiecare vulnerabilitate cu atenție și determinați scenariile cele mai grave. Deci, aveți o interzicere a cererii între site-uri (CSRF) pe interfața web a imprimantei dvs.? Care este riscul de afaceri? Poate că FTP rulează pe numeroase servere interne. Care este riscul de afaceri? Pentru multe defecțiuni de securitate, probabil veți găsi că riscul nu este doar acolo.
În ceea ce privește securitatea - ca majoritatea domeniilor vieții - trebuie să vă concentrați asupra celor mai mari sarcini de plată. În caz contrar, vă veți conduce nuci și, probabil, nu veți ajunge prea departe în îndeplinirea obiectivelor proprii. Iată o metodă rapidă de utilizat atunci când prioritizați vulnerabilitățile dvs. Puteți optimiza această metodă pentru a vă satisface nevoile. Trebuie să luați în considerare doi factori majori pentru fiecare dintre vulnerabilitățile pe care le descoperiți:
-
Probabilitatea de exploatare: Cât de probabil este ca vulnerabilitatea specifică pe care o analizați să o profite de un hacker, un utilizator rău intenționat, malware sau altă amenințare?
-
Impact dacă este exploatat: Cât de dăunătoare ar fi dacă vulnerabilitatea pe care o analizați a fost exploatată?
Mulți oameni ignoră adesea aceste considerente și presupun că fiecare vulnerabilitate descoperită trebuie rezolvată. Mare greșeală. Doar pentru că o vulnerabilitate este descoperită, nu înseamnă că se aplică situației și mediului înconjurător. Dacă intrați cu modul de gândire că fiecare vulnerabilitate va fi abordată indiferent de circumstanțe, veți pierde mult timp, efort și bani inutili și vă puteți configura programul de evaluare a securității pentru eșec pe termen lung.
Totuși, aveți grijă să nu vă mișcați prea mult în cealaltă direcție! Multe vulnerabilități nu apar prea grave la suprafață, dar ar putea foarte bine să vă aducă organizația în apă fierbinte dacă sunt exploatate. Săturați adânc și folosiți un bun simț.
Clasificați fiecare vulnerabilitate, utilizând criterii cum ar fi criteriile High, Medium și Low sau un rating de la 1 la 5 (unde 1 este cea mai mică prioritate și 5 este cea mai mare) pentru fiecare dintre cele două considerente. În continuare este un tabel de probă și o vulnerabilitate reprezentativă pentru fiecare categorie.
| Vulnerabilitate ridicată | Probabilitate medie | Probabilitate scăzută | |
|---|---|---|---|
| Impact puternic | Informații sensibile stocate pe un laptop necriptat | Protecție prin parolă
Nu există parolă de administrator pe un sistem intern SQL Server |
Mediu Impact |
| E-mailuri necriptate care conțin informații sensibile fiind | trimise
exploatat folosind Metasploit |
Nu sunt necesare parole pentru mai mulți administratori Windows
conturi |
Impact scăzut
Semnături depășite de virusi pe un PC autonom dedicat |
| navigare pe Internet | Angajați sau vizitatori care au câștigat o rețea neautorizată acces
Cipurile slabe de criptare folosite pe un site de marketing |
Prioritizarea vulnerabilității afișată se bazează pe metoda calitativă de evaluare a riscurilor de securitate. Cu alte cuvinte, este subiectivă, bazată pe cunoștințele dvs. despre sisteme și vulnerabilități. De asemenea, puteți lua în considerare toate evaluările de risc pe care le obțineți de la instrumentele dvs. de securitate - nu vă bazați numai pe ele, deoarece un furnizor nu poate oferi clasamentele finale de vulnerabilități. |
