Video: Det opsøgende salg del 1 af 3 - Sådan får du et salg 2024
Prioritering af de sikkerhedsproblemer, du finder, er kritisk, fordi mange problemer muligvis ikke kan rettes, og andre er måske ikke værd at fastsætte. Du kan muligvis ikke fjerne nogle sårbarheder på grund af forskellige tekniske grunde, og du har måske ikke råd til at eliminere andre. Eller simpelthen kan din virksomhed have en vis grad af risikotolerance. Hver situation er anderledes.
Du har brug for at bestemme, om ydelsen er værd at arbejde og koste. På den anden side kan udgifter til et par uger med udviklingstiden til at ordne scripts på tværs af websteder og SQL-indsprøjtning sårbarheder være værd at tjene penge, især hvis du ender med at blive dinged af tredjeparter eller tabe potentielle kunder. Det samme gælder for mobile enheder, som alle sværger ikke indeholder nogen følsomme oplysninger.
Du skal undersøge hver sårbarhed omhyggeligt, bestemme forretningsrisikoen og veje, om problemet er værd at fastsætte.
Det er umuligt - eller i hvert fald ikke værd at prøve - at løse alle sårbarheder, som du finder. Analyser hver sårbarhed omhyggeligt og bestem dine værst tænkelige scenarier. Så har du forfalskning på tværs af webstedet (CSRF) på din printerens web-interface? Hvad er forretningsrisikoen? Måske kører FTP på adskillige interne servere. Hvad er forretningsrisikoen? For mange sikkerhedsfejl vil du sandsynligvis finde, at risikoen ikke er der.
Med sikkerhed - ligesom de fleste områder af livet - skal du fokusere på dine højeste udbetalingsopgaver. Ellers vil du køre selv nødder og sandsynligvis vil ikke komme meget langt i at opfylde dine egne mål. Her er en hurtig metode til brug, når du prioriterer dine sårbarheder. Du kan finjustere denne metode for at imødekomme dine behov. Du skal overveje to hovedfaktorer for hver af de sårbarheder, du opdager:
-
Sandsynligheden for udnyttelse: Hvor sandsynligt er det, at den specifikke sårbarhed, du analyserer vil blive udnyttet af en hacker, en ondsindet bruger, malware eller en anden trussel?
-
Virkning hvis udnyttet: Hvor skadeligt ville det være, hvis den sårbarhed, du analyserer blev udnyttet?
Mange mennesker overhaler ofte disse overvejelser og antager, at enhver opdaget sårbarhed skal løses. Stor fejltagelse. Bare fordi en sårbarhed er opdaget, betyder det ikke, at det gælder din særlige situation og miljø. Hvis du går ind i tankegangen om, at enhver sårbarhed vil blive behandlet uanset omstændighederne, vil du spilde meget unødvendig tid, kræfter og penge, og du kan opsætte dit sikkerhedsvurderingsprogram for langvarigt fiasko.
Vær dog forsigtig med ikke at svinge for langt i den anden retning! Mange sårbarheder virker ikke for alvorlige på overfladen, men kan meget vel få din organisation til varmt vand, hvis de udnyttes. Grav dybt og brug en vis sund fornuft.
Rangér hver sårbarhed ved at bruge kriterier som høj, mellem og lav eller en 1 til 5 rating (hvor 1 er den laveste prioritet og 5 er højest) for hver af de to overvejelser. Følgende er en prøve tabel og en repræsentativ sårbarhed for hver kategori.
| Høj sandsynlighed | Mellem sandsynlighed | Lav sandsynlighed | |
|---|---|---|---|
| Høj effekt | Følsom information gemt på en ukrypteret bærbar computer | Tapebackups taget offsite, der ikke er krypterede og / eller < adgangskodebeskyttet
Ingen administratoradgangskode på et internt SQL Server-system |
Medium Impact |
| Ukrypterede e-mails, der indeholder følsomme oplysninger, bliver | sendt
Mangler Windows-patch på en intern server, der kan være < udnyttes ved hjælp af Metasploit |
Der kræves ikke adgangskoder til flere Windows-administratorer
konti |
Lav effekt
Forældede virus signaturer på en selvstændig pc dedikeret til |
| Internet browsing | Medarbejdere eller besøgende, der får uautoriseret netværk adgang
Svage krypteringscifre anvendes på en marketingwebside |
Den viste sårbarhedsprioritet er baseret på den kvalitative metode til vurdering af sikkerhedsrisici. Med andre ord er det subjektivt, baseret på din viden om systemerne og sårbarhederne. Du kan også overveje eventuelle risikovurderinger, du får fra dine sikkerhedsværktøjer - bare ikke stole udelukkende på dem, fordi en leverandør ikke kan give ultimative placeringer af sårbarheder. |
