手把手教你实现有效的漏洞评估
手把手教你实现有效的漏洞评估
2016-05-17 16:40:38 来源:TechTarget中国抢沙发
2016-05-17 16:40:38 来源:TechTarget中国
摘要:为对付日益增长的网络攻击,许多公司聘用了首席信息安全官(CISO)。CISO的职责就是确保数据的安全性。但频繁发生的数据泄露事件说明,实现数据安全任重而道远。
关键词:
漏洞
信息安全
为对付日益增长的网络攻击,许多公司聘用了首席信息安全官(CISO)。CISO的职责就是确保数据的安全性。但频繁发生的数据泄露事件说明,实现数据安全任重而道远。
很多CISO感到企业如同待宰杀的羔羊,企业的命运似乎就是在等待何时会发生重大的数据泄露。
为保护信息资产,CISO和其它安全专家们面临着一个很大困难:既要跟得上网络攻击者的步伐,还要对照检查越来越多的合规要求,并且密切注意合伙人和雇员的安全方法。
即使对于最有安全意识的IT团队来说,解决网络攻击的绝对数量和不断变化等问题也是很令人头疼的。这项工作要求深入地理解企业的风险和漏洞,以及最新的威胁和解决这些威胁的最有效的策略和技术。只有理解了企业的风险,企业才能够把“好钢用在刀刃上”:将有限的安全资金专门用于最重要的技术和策略。
那么,公司如何用最有价值的安全信息来武装自己呢?
许多网络攻击都利用基本的但常被人忽视的安全漏洞,例如不健全的补丁管理过程、弱口令、基于Web的个人邮件服务,缺乏对终端用户的教育以及缺乏强健的安全策略等。这就使得有效的漏洞评估成为保护数据的关键一步。
即使最安全的网络也有可能存在一些未知漏洞。漏洞扫描器是确认隐藏的网络漏洞和主机漏洞的实用工具。但是,对许多企业说,漏洞评估是个技术活儿,并且其实施目的是为了合规,但与企业的业务风险没有紧密联系起来,与管理安全的预算决策也几乎没有关系。
漏洞评估一般都要确认成千上万的漏洞,并且根据技术上的严重程度来对漏洞进行评级,却没有考虑受到影响的业务及过程。漏洞评估可能要建议多个补丁和升级程序,事实上用一个安全方案就可以解决上述所有问题。
但是,要想使漏洞评估更有成效,强健的安全策略就应当将漏洞对业务的影响、企业的总体安全策略、漏洞评估的结果联系起来,使管理员不但可以理解真正的业务风险是什么,还能够理解应当首先解决哪些漏洞,以及如何有效地解决漏洞。
漏洞评估人员应当能够将漏洞评估与业务联系起来。要从漏洞评估中获得最大的好处,就要求评估者理解企业的关键业务过程,理解底层的基础架构,并将这种理解应用到结果中。为确保有效性,漏洞评估应遵循如下步骤:
1.确认和理解业务过程
首先,评估者要确认和理解企业的业务过程,并重视那些关于合规、客户私密、竞争等的关键且敏感的业务过程。在许多企业中,这要求IT与业务部门、财务部门、法律顾问等之间的协作。许多公司将安全策略团队与每个部门的代表招集到一起,协同工作,分析业务过程及其依赖的信息和基础架构。
2.查找业务过程所依赖的应用程序和数据
在根据任务的关键程度和敏感性确认了业务过程并确定了其优先顺序后,下一步就是确认这些关键过程所依赖的应用程序和数据。此任务仍然要通过IT和其它业务部门的协作来完成。通过广泛的协作和讨论,评估者就可以发现那些比预料的更加生死攸关的应用。例如,对某部门来说,电子邮件可能是绝对关键的,但对许多其它部门来说,却并非如此。
3.发现隐藏的数据源
在寻找应用程序和数据源时,要确保考虑到移动设备(如智能手机)及桌面PC等设备。这些设备往往包含着企业业务过程的最新和最敏感的数据。漏洞评估者要与业务部门合作,理解哪些人正在使用移动设备访问和共享公司的应用和数据,理解在这些设备和数据中心的应用及存储之间的数据流。要确认企业的用户是否在通过公共的电子邮件服务发送业务邮件。还需要调查的另一个隐藏的问题是企业的软件开发环境,因为它本来就比生产环境更不安全。软件开发者和测试者往往使用最新的,有时甚至是关键数据来测试新应用和升级后的应用程序。
4.决定支持应用和数据的基础硬件
评估者还要确认基础架构层,确认运行关键业务应用的服务器(其中包含虚拟的和物理的)。对于Web和数据库应用来说,评估者可能要考虑每个应用的至少三套服务器,即Web服务器、应用服务器、数据库服务器。评估者要确认哪些设备保存着由这些应用程序使用的关键业务和敏感数据。
5.要详细调查和确定连接硬件的网络基础架构
为了实现快速且安全的性能,评估者要理解路由器和应用程序、硬件赖以运行的其它网络设备,要理解其相互的连接关系。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。