Βίντεο: 049_ β)ΠΩΣ ΝΑ ΕΚΚΛΗΣΙΑΖΟΜΑΣΤΕ - π.ΑΥΓΟΥΣΤΙΝΟΣ ΚΑΝΤΙΩΤΗΣ 2024
Η ιεράρχηση των αδυναμιών ασφαλείας που βρίσκετε είναι κρίσιμη, επειδή πολλά ζητήματα ενδέχεται να μην είναι διορθωτικά και άλλα ίσως να μην αξίζει τον κόπο. Ίσως να μην είστε σε θέση να εξαλείψετε κάποια τρωτά σημεία για διάφορους τεχνικούς λόγους και ίσως να μην είστε σε θέση να εξαλείψετε άλλους. Ή, αρκετά απλά, η επιχείρησή σας μπορεί να έχει ένα ορισμένο επίπεδο ανοχής στον κίνδυνο. Κάθε κατάσταση είναι διαφορετική.
Πρέπει να υπολογίσετε εάν το όφελος αξίζει την προσπάθεια και το κόστος. Από την άλλη πλευρά, η δαπάνη για λίγες εβδομάδες του χρόνου ανάπτυξης για να διορθώσετε τη διαδικτυακή δέσμη ενεργειών δέσμης ενεργειών και τα τρωτά σημεία του SQL injection θα μπορούσε να αξίζει πολλά χρήματα, ειδικά αν καταλήξετε να χάνετε από τρίτους ή να χάσετε πιθανούς πελάτες. Το ίδιο ισχύει και για τις κινητές συσκευές που όλοι ορκίζονται ότι δεν περιέχουν ευαίσθητες πληροφορίες.
Πρέπει να μελετήσετε προσεκτικά κάθε ευπάθεια, να καθορίσετε τον επιχειρηματικό κίνδυνο και να σταθμίσετε αν το θέμα αξίζει τον κόπο.
Είναι αδύνατο - ή τουλάχιστον δεν αξίζει να δοκιμάσετε - να διορθώσετε κάθε ευπάθεια που βρίσκετε. Αναλύστε προσεκτικά κάθε ευπάθεια και καθορίστε τα χειρότερα σενάρια. Έχετε λοιπόν την παραποίηση μεταξύ αιτήσεων μεταξύ ιστοτόπων (CSRF) στη διεπαφή ιστού του εκτυπωτή σας; Ποιος είναι ο επιχειρηματικός κίνδυνος; Ίσως το FTP τρέχει σε πολλούς εσωτερικούς διακομιστές. Ποιος είναι ο επιχειρηματικός κίνδυνος; Για πολλά ελαττώματα ασφαλείας, πιθανόν να διαπιστώσετε ότι ο κίνδυνος δεν υπάρχει.
Με ασφάλεια - όπως και οι περισσότερες περιοχές της ζωής - πρέπει να εστιάσετε στα υψηλότερα αποταμιευτικά σας καθήκοντα. Διαφορετικά, θα σας οδηγήσει καρύδια και πιθανότατα δεν θα πάρετε πολύ μακριά στην επίτευξη των στόχων σας. Ακολουθεί μια γρήγορη μέθοδος για να χρησιμοποιήσετε κατά προτεραιότητα τις ευπάθειές σας. Μπορείτε να τροποποιήσετε αυτή τη μέθοδο για να ικανοποιήσετε τις ανάγκες σας. Θα πρέπει να εξετάσετε δύο σημαντικούς παράγοντες για κάθε μία από τις ευπάθειες που ανακαλύπτετε:
-
Πιθανότητα εκμετάλλευσης: Πόσο πιθανό είναι ότι η συγκεκριμένη ευπάθεια που αναλύετε θα αξιοποιηθεί από έναν χάκερ, έναν κακόβουλο χρήστη, κακόβουλο λογισμικό ή κάποια άλλη απειλή;
-
Αντίκτυπος αν εκμεταλλευτεί: Πόσο επιζήμια θα ήταν αν εκμεταλλευόταν την ευαισθησία που ασχολείσαι;
Πολλοί άνθρωποι συχνά παραλείπουν αυτές τις σκέψεις και υποθέτουν ότι κάθε ευπάθεια που ανακαλύφθηκε πρέπει να επιλυθεί. Μεγάλο λάθος. Ακριβώς επειδή ανακαλύπτεται μια ευπάθεια, δεν σημαίνει ότι ισχύει για την ιδιαίτερη κατάσταση και το περιβάλλον σας. Εάν εισέλθετε με τη νοοτροπία ότι κάθε ευπάθεια θα αντιμετωπιστεί ανεξάρτητα από τις περιστάσεις, θα σπαταλάτε πολύ περιττό χρόνο, προσπάθεια και χρήμα και μπορείτε να ρυθμίσετε το πρόγραμμά σας αξιολόγησης ασφάλειας για αποτυχία μακροπρόθεσμα.
Ωστόσο, προσέξτε να μην κουνηθείτε πολύ προς την άλλη κατεύθυνση! Πολλά τρωτά σημεία δεν φαίνονται πολύ σοβαρά στην επιφάνεια, αλλά θα μπορούσαν πολύ καλά να πάρουν την επιχείρησή σας σε ζεστό νερό εάν εκμεταλλευτούν. Βάλτε βαθιά και χρησιμοποιήστε κάποια κοινή λογική.
Βαθμολογήστε κάθε ευπάθεια, χρησιμοποιώντας κριτήρια όπως Υψηλή, Μεσαία και Χαμηλή ή βαθμολογία από 1 έως 5 (όπου 1 είναι η χαμηλότερη προτεραιότητα και 5 είναι η υψηλότερη) για κάθε μία από τις δύο παραμέτρους. Ακολουθεί πίνακας δειγμάτων και αντιπροσωπευτική ευπάθεια για κάθε κατηγορία.
Υψηλή πιθανότητα | Μεσαία πιθανότητα | Χαμηλή πιθανότητα | |
---|---|---|---|
Υψηλή επίδραση | Προστασία με κωδικό πρόσβασης | Κανένας κωδικός πρόσβασης διαχειριστή σε εσωτερικό σύστημα SQL Server
Μεσαία επίδραση |
Μη κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν ευαίσθητες πληροφορίες |
εκμεταλλεύονται χρησιμοποιώντας Metasploit | Δεν απαιτούνται κωδικοί πρόσβασης σε διάφορους λογαριασμούς διαχειριστή Windows | Χαμηλή επίδραση
Ξεπερασμένες υπογραφές ιού σε αυτόνομο υπολογιστή αποκλειστικής χρήσης |
Περιήγηση στο Internet
Υπάλληλοι ή επισκέπτες που αποκτούν μη εξουσιοδοτημένο δίκτυο πρόσβαση |
Χρησιμοποιούνται αδύναμοι κωδικοί κρυπτογράφησης σε ιστότοπο μάρκετινγκ | Η ιεραρχημένη προτεραιότητα που παρουσιάζεται βασίζεται στην ποιοτική μέθοδο εκτίμησης των κινδύνων ασφαλείας. Με άλλα λόγια, είναι υποκειμενικό, βασισμένο στις γνώσεις σας για τα συστήματα και τα τρωτά σημεία. Μπορείτε επίσης να λάβετε υπόψη τις αξιολογήσεις κινδύνου που παίρνετε από τα εργαλεία ασφάλειας - απλά δεν βασίζεστε αποκλειστικά σε αυτά, επειδή ο πωλητής δεν μπορεί να προσφέρει απόλυτη κατάταξη ευπάθειας.
|