Video: Hur väljer du den rätta gamingdatorn? Elgiganten förklarar 2024
Prioritera säkerhetsproblemen du finner är avgörande eftersom många problem kanske inte kan fixas och andra kanske inte är värda att fixa. Du kanske inte kan eliminera vissa sårbarheter på grund av olika tekniska skäl, och du kanske inte har råd att eliminera andra. Eller helt enkelt nog kan ditt företag ha en viss grad av risk tolerans. Varje situation är annorlunda.
Du måste avgöra om fördelen är värt ansträngningen och kostnaden. Å andra sidan kan det vara värt mycket pengar om du spenderar några veckor av utvecklingstiden för att åtgärda cross-site scripting och SQL-insprutning sårbarheter, särskilt om du hamnar ihop av tredje part eller förlorar potentiella kunder. Detsamma gäller för mobila enheter som alla svär inte innehåller känslig information.
Du måste noggrant studera varje sårbarhet, bestämma affärsrisken och väga om problemet är värt att fixa.
Det är omöjligt - eller åtminstone inte värt att försöka - att åtgärda varje sårbarhet som du hittar. Analysera varje sårbarhet noggrant och bestämma dina värsta scenarier. Så har du förfalskning på webbplatsen (CSRF) på skrivarens webbgränssnitt? Vad är affärsrisken? Kanske FTP körs på många interna servrar. Vad är affärsrisken? För många säkerhetsbrister, kommer du troligen att hitta risken är bara inte där.
Med säkerhet - som de flesta områden i livet - måste du fokusera på dina högsta utdelningsuppgifter. Annars kör du själv nötter och kommer förmodligen inte bli mycket långt i att uppfylla dina egna mål. Här är en snabb metod att använda när du prioriterar dina sårbarheter. Du kan anpassa denna metod för att tillgodose dina behov. Du måste överväga två huvudfaktorer för var och en av de sårbarheter du upptäcker:
-
Risk för exploatering: Hur sannolikt är det att den specifika sårbarheten du analyserar kommer att utnyttjas av en hackare, en skadlig användare, skadlig kod eller något annat hot?
-
Påverkan om utnyttjad: Hur skadlig skulle det vara om sårbarheten du analyserar utnyttjades?
Många människor hoppar ofta över dessa överväganden och antar att varje upptäckt sårbarhet måste lösas. Stort misstag. Bara för att en sårbarhet upptäcks betyder det inte att den gäller din specifika situation och miljö. Om du går in i tankegången att varje sårbarhet kommer att hanteras oberoende av omständigheterna, kommer du att slösa bort mycket onödig tid, ansträngning och pengar, och du kan ställa in ditt säkerhetsbedömningsprogram för misslyckande på lång sikt.
Men var försiktig så att du inte svänger för långt i andra riktningen! Många sårbarheter verkar inte vara allvarliga på ytan men kan mycket väl få din organisation i hett vatten om de utnyttjas. Gräva djupt och använd lite sunt förnuft.
Ranka varje sårbarhet, med hjälp av kriterier som High, Medium och Low eller ett 1-through-5 rating (där 1 är den lägsta prioriteten och 5 är högst) för var och en av de två övervägandena. Följande är en provtabell och en representativ sårbarhet för varje kategori.
Hög sannolikhet | Medel sannolikhet | Låg sannolikhet | |
---|---|---|---|
Hög effekt | Känslig information lagrad på en okrypterad bärbar dator | Tapebackups som tagits utanför webbplatsen som inte är krypterade och / eller < lösenordsskyddad
Inget administratörslösenord på ett internt SQL Server-system |
Medium Impact |
Okrypterade e-postmeddelanden som innehåller känslig information som | skickas
Saknar Windows-korrigering på en intern server som kan vara < utnyttjas med Metasploit |
Inga lösenord krävs på flera Windows-administratörer
konton |
Låg påverkan
Föråldrade virussignaturer på en fristående dator dedikerad till |
Webbläsning | Anställda eller besökare som får obehörigt nätverk access
Svaga krypteringskoder används på en marknadsföringswebbplats |
Den visade sårbarhetsprioritering baseras på den kvalitativa metoden för att bedöma säkerhetsrisker. Med andra ord är det subjektivt, baserat på din kunskap om system och sårbarheter. Du kan också överväga eventuella riskvärden du får från dina säkerhetsverktyg - bara lita inte enbart på dem, eftersom en leverantör inte kan ge slutliga rankningar av sårbarheter. |