精品国产人成在线_亚洲高清无码在线观看_国产在线视频国产永久2021_国产AV综合第一页一个的一区免费影院黑人_最近中文字幕MV高清在线视频

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

對應用程序進行風險排名時要考慮的3件事

星星科技指導員 ? 來源:synopsys ? 作者:synopsys ? 2023-05-29 10:42 ? 次閱讀

幾乎每個與我交談過的安全主管都希望擁有更多的安全資源。無論是進行威脅建模、手動代碼審查的人,還是只是能夠從每天收到的信息的暴風雪中清除誤報的人,每個人似乎都需要額外的幫助。讓我們首先看一下風險排名應用程序。

雖然更多的人當然可以提供幫助,但我們大多數人都在預算有限的組織中運營。該環境中的訣竅是充分利用有限的資源。這意味著將它們應用于最重要的應用程序和漏洞。

1.并非所有應用程序都值得您關注

我之前寫過關于風險排名應用程序的文章。我討論了為什么不是每個應用程序都值得相同的審查,以及如何應用不同的安全活動。這是一個快捷方式;請您的每個企業主說出他們成功所依賴的前三五個應用程序。該列表可能更短或更長,具體取決于組織的規模。

有時這相當簡單。如果應用程序在國防部統一能力批準產品列表 (UC-APL) 上,則維護其安全性至關重要,因為未修補的漏洞可能會導致失去認證。同樣,管理受法規遵從性約束的信息的應用程序(如PCI或HIPAA)可能被視為對業務目標至關重要。

另一方面,可能存在不管理關鍵信息的內部應用程序,從業務角度來看,安全性并不重要。要記住的主要規則是,并非所有應用程序都需要相同級別的安全審查。

2. 將這些應用程序映射到業務目標

這里的要點是,安全本身并不是目的。它應始終支持業務目標。本練習旨在確保按優先級排列的應用程序滿足此要求。重點關注應用程序如何影響收入、客戶信息、管理法規標準、公司 IP、商業信譽或任何其他戰略目標。

注意:從應用程序安全的角度來看,其中一些應用程序可能超出您的控制范圍。例如,您的銷售線索可能側重于 Salesforce.com。在這種情況下,您可能沒有直接能力提高應用程序的安全性,但您可以放入其他控件(例如 2 因素身份驗證)來緩解某些風險。

3. 定義最壞情況

正如所有應用程序的重要性并不相同一樣,所有潛在的攻擊也同樣糟糕。您需要有關這些應用程序的更多信息來確定操作的優先級。

我們有時會談論威脅建模。在最基本的層面上,威脅建模是一種“像黑客一樣思考”的練習,以弄清楚攻擊者想要完成什么(所需的“技術影響”)以及如何實現(“攻擊向量”)。

攻擊的“技術影響”是風險排名的關鍵組成部分。可能的技術影響包括為攻擊者提供讀取或修改數據、執行拒絕服務攻擊、執行未經授權的代碼以及獲得未經授權的權限的能力。您的目標是找出每個關鍵應用程序的“最壞情況”,以便以后可以確定單個漏洞的優先級。

例如,如果您的業務涉及社交媒體應用程序,則保持正常運行時間或應用程序的可用性可能至關重要。拒絕服務攻擊通過限制廣告曝光和使無法發布個人資料更新的用戶感到沮喪來影響收入。在這種情況下,對可用性降低具有高技術影響的漏洞優先于其他漏洞。相反,如果您有網上銀行應用程序,則可以淡化漏洞,從而降低可用性的技術影響。應用程序不可用比允許可能允許黑客讀取或修改數據的攻擊要好得多。

下一步 – 我們如何確定漏洞的優先級?

我們可能永遠無法擁有我們想要的所有安全資源。同時,確定哪些應用程序對您的業務目標最關鍵,有助于集中安全人員和修正活動。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • IP
    IP
    +關注

    關注

    5

    文章

    1664

    瀏覽量

    149345
  • 應用程序
    +關注

    關注

    37

    文章

    3245

    瀏覽量

    57615
  • 優先級
    +關注

    關注

    0

    文章

    21

    瀏覽量

    8750
收藏 人收藏

    評論

    相關推薦

    [原創]每天做好一件事

    每天做好一件事有一位畫家,舉辦過十幾次個人畫展。開始無論參觀者多少,臉上總是掛著微笑。有一次,我問他:"你為什么每天都這么開心呢?"他給我講一件事情:小時后,我興趣非常廣泛,也很
    發表于 05-31 11:55

    什么叫做“每天6件事”,如何落實“每天6件事

    工作堅持圓滿完成的態度。如此進行三星期之后,你會發現比以前沒頭沒緒的做法,多出許多時間。也許一天你只劃掉二件事,甚至一件事而已,但你已把當天最重要的
    發表于 04-21 13:40

    小米神話被華為OV聯手打敗,只因為雷軍常做這三件事

    曾經的小米,多么傳奇的神話?結果卻被華為OV聯手打敗。越來越多的米粉轉成了米黑,只因為雷軍做了三件事。第一件事是饑餓營銷,第二件事是售后不給力,第三件事是經常吹牛。
    發表于 02-06 08:46 ?1571次閱讀

    風電機組各零部進行風險評估的一個示例

    如何有效實施零部質量管控?基于風險的思維,首先應進行一個質量風險評估:通過識別風險因素、量化風險
    的頭像 發表于 07-17 17:38 ?6748次閱讀
    風電機組各零部<b class='flag-5'>件</b><b class='flag-5'>進行風險</b>評估的一個示例

    如何使用抽樣方法對應用程序進行概要分析

    在本課程中,您將學習如何使用抽樣方法對應用程序進行概要分析并找出瓶頸,同時降低開銷。 作為額外的好處,英特爾System Studio分析工具還有助于動態查找內存和
    的頭像 發表于 11-01 06:31 ?2356次閱讀

    量產印刷電路板前必須考慮

    量產印刷電路板前必須考慮 又是新的一年,你是否又有新的設計原型交付PCBA組裝呢?或許你今年更是下定決心,要將某塊硬件設計投入量產,不過,第一次
    發表于 03-02 14:38 ?417次閱讀
    八<b class='flag-5'>件</b>量產印刷電路板前必須<b class='flag-5'>考慮</b>的<b class='flag-5'>事</b>

    物聯網安全必須做哪三件事

    要使物聯網(IoT)實施成功,網絡和安全專業人員需要創建包含這三件事的物聯網安全路線圖。
    發表于 09-12 16:18 ?3654次閱讀

    程序員之前這三件事必須考慮

    ,看到文章里頭那些“高薪”、“非凡成就”、“熱門職缺”的字眼,是不是都想轉行呢?今天就整理一些建議給大家,看看轉行做程序員之前必須考慮的三件事。
    的頭像 發表于 12-15 11:39 ?2672次閱讀

    設計新的PCB之前考慮的8件事

    在過去的幾年中,我們看到 PCB 設計上反復出現了很多很容易避免的問題。因此,在開始新的 PCB 設計之前,需要考慮以下 8 件事。 1. 在開始新的 PCB 設計之前,請考慮以下事項。 根據產品
    的頭像 發表于 09-25 20:07 ?1883次閱讀

    關于MIMO技術您應該知道的10件事

    關于MIMO技術您應該知道的10件事。
    發表于 06-16 09:32 ?17次下載

    為ADAS構建時需要考慮的6件事說明

    為ADAS構建時需要考慮的6件事說明。
    發表于 09-22 17:06 ?1次下載

    關于隔離器件,你需要知道的三件事

    關于隔離器件,你需要知道的三件事
    發表于 10-28 12:00 ?0次下載
    關于隔離器件,你需要知道的三<b class='flag-5'>件事</b>

    升級至4K超高清12G-SDI接口時需要考慮的三件事

    升級至4K超高清12G-SDI接口時需要考慮的三件事
    發表于 11-02 08:16 ?1次下載
    升級至4K超高清12G-SDI接口時需要<b class='flag-5'>考慮</b>的三<b class='flag-5'>件事</b>

    Mapping溫度分布驗證選擇數據記錄儀時需要考慮的13件事

    虹科總結Mapping溫度分布驗證選擇數據記錄儀時需要考慮的13件事。虹科將單獨為您設計溫度分布驗證布局,準備數據記錄儀并提供專業驗證軟件。
    的頭像 發表于 08-04 11:03 ?517次閱讀
    Mapping溫度分布驗證選擇數據記錄儀時需要<b class='flag-5'>考慮</b>的13<b class='flag-5'>件事</b>

    光纖通道SAN Fabric的5件事

    電子發燒友網站提供《光纖通道SAN Fabric的5件事.pdf》資料免費下載
    發表于 08-28 11:16 ?0次下載
    光纖通道SAN Fabric的5<b class='flag-5'>件事</b>