Video: Google Security Expert Roundtable 2024
Birçok konu düzeltilemeyebileceğinden ve tespit etmeye değer olmayabileceğinden, bulduğunuz güvenlik açıklarının ön plana çıkarılması kritik önem taşır. Çeşitli teknik sebeplerden dolayı bazı güvenlik açıklarını ortadan kaldıramayabilir ve başkalarını ortadan kaldırmayı göze alamayabilirsiniz. Veya, işinizde belirli bir düzeyde risk toleransı olabilir. Her durum farklıdır.
Faydanın çabaya ve masrafa değer olup olmadığını belirlemelisiniz. Öte yandan, siteler arası komut dosyası çalıştırma ve SQL ekleme güvenlik açıklarını gidermek için birkaç hafta geliştirme süresi harcamanın, özellikle üçüncü taraflar tarafından tüketilmeye veya potansiyel müşterileri kaybetmenize neden olacağı zaman, çok değerli olabilir. Herkesin hassas bilgiler içermediğine yemin eden mobil cihazlar için de aynı şey geçerlidir.
Her güvenlik açığına dikkatle incelemeniz, iş riskini belirlemeniz ve sorunun düzeltilmesi gerekip gerekmediğini tartmanız gerekir.
Bulduğunuz her güvenlik açığını gidermek mümkün değildir - veya en azından denemeye değmez -. Her güvenlik açığını dikkatle analiz edin ve en kötü durum senaryolarınızı belirleyin. Yazıcınızın web arayüzünde siteler arası talep forma (CSRF) var mı? İş riski nedir? Belki de FTP sayısız dahili sunucularda çalışmaktadır. İş riski nedir? Pek çok güvenlik kusuru için muhtemelen riskin sadece orada olmadığını göreceksiniz.
Güvenlikle - çoğu yaşam alanlarında olduğu gibi - en yüksek ödev görevlerinize odaklanmak zorundasınız. Aksi takdirde, kendinize fıstığınız çekersiniz ve muhtemelen kendi hedeflerinize ulaşmada çok fazla ilerlemeyeceksinizdir. Güvenlik açıklarının önceliğini belirlerken kullanmanız için hızlı bir yöntem. İhtiyaçlarınızı karşılamak için bu yöntemi çimdikleyebilirsiniz. Bulduğunuz güvenlik açıklarının her biri için iki önemli faktörü göz önüne almanız gerekir:
-
İstismar olasılığı: Analiz ettiğiniz belirli güvenlik açığının, bir bilgisayar korsanının, kötü niyetli bir kullanıcının, kötü amaçlı yazılım veya başka bir tehdit mi?
-
Kullanıldığında olumsuzluk: Analiz edeceğiniz güvenlik açığı sömürülürse ne kadar zararlı olur?
Birçok kişi sıklıkla bu düşünceleri atlıyor ve keşfedilen her güvenlik açığının çözülmesi gerektiğini varsayıyor. Büyük hata. Sadece bir güvenlik açığı bulunması sizin durumunuza ve ortamınıza uygulanması anlamına gelmez. Her güvenlik açığının koşullara bakılmaksızın ele alınacağı düşüncesiyle girerseniz, çok fazla zaman, emek ve para harcarsınız ve uzun vadede arıza için güvenlik değerlendirme programınızı kurabilirsiniz.
Ancak, diğer yönden çok fazla sallanmamaya özen gösterin! Birçok güvenlik açığı yüzeyde çok ciddi görünmemekle birlikte, istismar edildikleri takdirde kuruluşunuzu sıcak suya sokabilirler. Derinleştirin ve bazı sağduyu kullanın.
Her iki hususun her biri için Yüksek, Orta ve Düşük veya 1'den 5'e kadar derecelendirme (1 en düşük önceliği en yüksek 5'i en yüksektir) gibi kriterleri kullanarak her güvenlik açığına sıralayın. Aşağıda, her bir kategori için örnek bir tablo ve temsilcilik açıklığı bulunmaktadır.
| Yüksek Olabilirlik | Orta Olabilirlik | Düşük Olabilirlik | |
|---|---|---|---|
| Yüksek Etki | Şifrelenmemiş bir dizüstü bilgisayarda saklanan hassas bilgiler | Şifrelenmemiş ve / parola korumalı
Dahili bir SQL Server sisteminde yönetici parolası yok |
Orta Etki |
| olan hassas bilgiler içeren şifrelenmemiş e-postalar gönderildi
Dahili bir sunucuda Windows yaması eksikliği < Metasploit kullanarak sömürülen |
Çeşitli Windows yöneticileri
hesaplarında parola gerekli değil |
Düşük Etki | |
| Internet taramasına ayrılmış bağımsız bir bilgisayarda eski virüs imzaları | Çalışan veya ziyaretçilerin yetkisiz ağa girmesi erişim
Bir pazarlama web sitesinde kullanılan zayıf şifreleme şifreleri |
Gösterilen güvenlik açığı önceliği, güvenlik risklerini değerlendirmenin niteliksel yöntemine dayanır. Başka bir deyişle, sistem ve zayıf noktalar hakkındaki bilgilerinize dayanarak öznel bir konudur. Alınan tüm risk derecelendirmelerini güvenlik araçlarından da düşünebilirsiniz - yalnızca bir satıcı güvenilmez güvenlik açıklarını sağlayamadığı için yalnızca onlara güvenmeyin. |
