|
“三步走”战略 网络安全漏洞“药到病除”这种三步骤过程是假定你已经获取了关于环境中存在的网络安全漏洞的信息、由系统和应用处理的信息的敏感度以及环境中现有安全控制的状态。这些信息可能来自不同的漏洞管理程序,包括Web和网络漏洞扫描器、数据丢失防护系统和配置管理软件等。 公开信息是指你的企业愿意透露给公众的信息,例如产品文献、你的公共网站上的数据以及发布的财务报表。 当对系统进行数据敏感度评级时,你的评估应该基于系统存储或处理的信息的最高敏感度水平。处理高敏感度信息的系统被评为5级,而处理内部信息的系统可能被评为2级、3级或3级,这取决于敏感度水平。所有其他系统都被评为1级。 步骤3:评估现有控制 这个过程的最后一步是评估现有控制—这些控制保护潜在易受攻击的系统免受攻击。根据你企业需要的具体控制的不同,你用来进行评级的方法也会有所不同。例如,如果你有一个高度安全的网络用于极度敏感的系统,对于5级控制评级标准,你可能会将这些系统评为5级。同样地,如果使用公共IP地址的系统可以通过互联网从web应用访问,而没有受到web应用防火墙保护,这种系统可能被评为1级或者2级。你应该选择能够准确反映你的环境中预期控制的评级标准,然后对具有强大安全控制的系统评为较高等级。 整合这些数据 在收集了所有这些信息后,你可以利用它们来评估你的报告中出现的漏洞。而且,在你将所有这些数据收集在一起后,你可以对系统中存在的每个漏洞执行下面这个简单的计算: 风险数=(漏洞严重程度*数据敏感度)/现有控制 如果每个选项都是5分制,这个漏洞评级范围将是从最低0.2分(在仅包含公共信息的良好控制的系统中存在的的严重性漏洞)到最高25分(包含高敏感度信息而缺乏安全控制的系统中存在高严重性漏洞)。 虽然这看起来需要收集大量数据以及执行大量计算,你可以找到方法来自动化这个过程并改进你的漏洞优先级工作。例如,你可以创建一个数据库来存储关于所有服务器资产的数据敏感度和控制状态信息。 同样地,你可以利用脚本来分析供应商报告,以自动化提取漏洞严重度信息,从数据库中提取相关信息并计算风险分数。 评论: 以上的“三步走”战略,可以切实解决企业面临的网络安全漏洞问题,当然,除此之外,解决网络安全漏掉的方法很多,有很多方法来为企业定制网络安全漏洞优先级系统。无论你做出怎样的调整,对于任何想要降低IT安全风险的企业而言,基于风险优先级决策的有效的漏洞管理程序都是一个必须因素。简化用来执行漏洞风险分析的程序,让企业更容易开始和维护这样一个程序。 责编:王雅京 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|