五步評估你的安全狀態
預算、時間以及人員限制要求公司有選擇性地進行信息安全人力物力的投入。你如何確定哪些地方需要重點進行安全改進呢?具有成熟安全項目的企業可能有一套正式的風險管理過程,來協助完成這項工作。而另一方面,中型企業,他們的決定則更需要有策略性。
下面是評估安全狀態的五個步驟,它們已經協助許多中型企業進行了評估工作:
1、確定關鍵數據流:對于企業來說,了解哪些數據是敏感數據并不容易。然而,解決這一挑戰有助于你更好地理解企業的業務過程和優先事項。同時你也可以會見關鍵人物并聽取他們的意見;他們日后也會支持你的安全改進工作。在與他們交談時,要向他們了解數據從哪來,到哪去,哪個基礎設施組件將會處理這些數據。此外,也要了解需要公司進行數據保護的所有規則遵從要求或者合同要求。
2、了解用戶的交互:在上一個步驟中你確定的人群是怎樣使用數據的?同時還要注意個人的訪問權限,我們需要完成以下工作:哪些人只讀取數據,哪些人需要有改變數據的權限?這將影響到執行訪問控制的授權工作。此外,弄清人們在公司內部,以及與合作伙伴和客戶之間是如何分享數據的——脆弱的數據共享實踐已經導致了許多數據泄漏事件。在這個階段,還要評估存在哪些變化控制,以防止人們對基礎設施以及其上的數據進行未授權的修改。
3、檢查網絡周邊:當你對數據流和用戶的交互有了清楚的了解之后,還需要研究網絡的出口路徑和入口路徑。哪些地方抵抗攻擊的能力最差?用來監測和阻止未授權訪問的機制有哪些?如果一個外圍組件(譬如說防火墻)未能阻止攻擊,你的整個系統環境會不會門戶大開呢?檢查你的互聯網連接和那些連向合作伙伴和客戶的直接鏈接。在這個階段的評估過程中,有線和無線網絡都要檢查。
4、評估服務器和工作站:在了解了你的網絡周邊的強弱點之后,請查看一下網絡周邊的內部系統。你需要查找可以被攻擊者用來破解主機、盜竊數據的缺失補丁或者配置錯誤。從外部組件可以訪問的服務器開始。然后再檢查你的內部服務器。不要忘記評估你的臺式電腦和筆記本電腦的安全狀態,因為以客戶端軟件(比如瀏覽器和其插件)為目標的攻擊很容易成功。
5、查看應用程序:最后,考慮一下第三方以及內部用戶可訪問的自定義應用程序中可能存在的漏洞。可以讓攻擊者破解應用程序的安全機制,從而進行未授權訪問的漏洞有哪些?要特別注意基于網絡的應用程序,近年來它們一直是攻擊者喜歡的目標。解決應用程序級別問題并不簡單,這也是我們不從這一步開始的原因。然而,重要的是要認識到與易受攻擊的應用程序相關的風險,以便對自己的安全狀態有一個完整的評估。
你不必在完成上面列出的所有的步驟之后才開始解決你發現的弱點。只要你確定了關鍵的風險,請盡可能好的解決它們,然后再繼續評估。人們很容易在第一個階段卡殼,因為他們試圖用完美的方式解決所有的問題。可以考慮那些對當前而言足夠好的狀態,然后繼續你的評估,以確定其他需要立即關注的關鍵地方。
業界有一句老話:安全是一個過程。你完成了所有的評估步驟并確定了適當的風險之后,請再次重復這個過程。重復的次數越多,你會感到你所遇到的風險越容易管理。
【編輯推薦】
