Hvordan du prioriterer systemets sikkerhetsproblemer - dummies

Prioritering av sikkerhetsproblemene du finner er avgjørende, fordi mange problemer kanskje ikke kan repareres, og andre er kanskje ikke verdt å fikse. Du kan ikke eliminere noen sårbarheter på grunn av ulike tekniske årsaker, og du kan ikke ha råd til å eliminere andre. Eller, ganske enkelt nok, kan virksomheten din ha et visst nivå av risikotoleranse. Hver situasjon er annerledes.

Du må faktor om fordelen er verdt innsatsen og kostnaden. På den annen side kan det være verdt mye penger å tilbringe noen uker med utviklingstiden for å fikse krypteringsskripting og SQL-injeksjonssårbarheter, spesielt hvis du ender med å bli dinged av tredjeparter eller miste potensielle kunder. Det samme gjelder for mobile enheter som alle sverger, ikke inneholder sensitiv informasjon.

Du må nøye studere hvert sikkerhetsproblem, bestemme forretningsrisikoen, og veie om problemet er verdt å fikse.

Det er umulig - eller i det minste ikke verdt å prøve - å fikse alle sårbarheter du finner. Analyser hvert sårbarhet nøye og avgjøre dine worst case scenarioer. Så har du forfalskning på stedet (CSRF) på skriverens webgrensesnitt? Hva er forretningsrisikoen? Kanskje FTP kjører på mange interne servere. Hva er forretningsrisikoen? For mange sikkerhetsfeil vil du sannsynligvis finne at risikoen ikke er der.

Med sikkerhet - som de fleste områder av livet - må du fokusere på dine høyeste utbetalingsoppgaver. Ellers vil du kjøre deg selv og sannsynligvis ikke bli veldig langt i å møte dine egne mål. Her er en rask metode som skal brukes når du prioriterer dine sårbarheter. Du kan justere denne metoden for å imøtekomme dine behov. Du må vurdere to viktige faktorer for hver av de sårbarhetene du oppdager:

• Sannsynlighet for utnyttelse: Hvor sannsynlig er det at det spesifikke sikkerhetsproblemet du analyserer vil bli utnyttet av en hacker, en ondsinnet bruker, skadelig programvare eller en annen trussel?

• Virkning hvis utnyttet: Hvor skadelig vil det være hvis sårbarheten du analyserer ble utnyttet?

Mange mennesker hopper over disse overvektene og antar at hvert oppdaget sårbarhet må løses. Stor tabbe. Bare fordi et sårbarhet er oppdaget, betyr det ikke at det gjelder din spesielle situasjon og miljø. Hvis du går inn i tankegangen at enhver sårbarhet vil bli adressert uansett omstendigheter, vil du kaste bort mye unødvendig tid, innsats og penger, og du kan sette opp sikkerhetsvurderingsprogrammet ditt for feil på lang sikt.

Vær imidlertid forsiktig så du ikke svinger for langt i den andre retningen! Mange sårbarheter ser ikke ut til å være for alvorlige på overflaten, men kan veldig godt få organisasjonen din til varmt vann hvis de blir utnyttet. Grav i dyp og bruk litt sunn fornuft.

Rangere hvert sikkerhetsproblem, ved hjelp av kriterier som høy, middels og lav eller en 1 til 5-rangering (der 1 er lavest prioritet og 5 er høyest) for hver av de to overvägelsene. Følgende er et utvalgstabell og et representativt sårbarhet for hver kategori.

Prioritering av sikkerhetsproblemer

Høy sannsynlighet	Sannsynlighet for medium	Lav sannsynlighet
Høy effekt	Sensitiv informasjon lagret på en ukryptert bærbar PC	Tapebackups tatt utenfor nettstedet som ikke er kryptert og / eller < passordbeskyttet Ingen administratorpassord på et internt SQL Server-system	Medium Impact
Ukrypterte e-postmeldinger som inneholder sensitiv informasjon blir	sendt Mangler Windows-oppdatering på en intern server som kan være < utnyttet ved hjelp av Metasploit	Ingen passord kreves på flere Windows-administratorer kontoer	Lav effekt Utdaterte virus signaturer på en frittstående PC dedikert til
Internett-surfing	Ansatte eller besøkende som får uautorisert nettverk tilgang Svake krypteringsfrekvenser blir brukt på en markedsføringswebside	Den viste sårbarhetsprioritering er basert på den kvalitative metoden for å vurdere sikkerhetsrisiko. Med andre ord er det subjektivt, basert på din kunnskap om systemene og sårbarhetene. Du kan også vurdere eventuelle risikovurderinger du får fra sikkerhetsverktøyene dine - bare ikke stole utelukkende på dem, fordi en leverandør ikke kan gi ultimate rangering av sårbarheter.