Le pourquoi et le comment d'une évaluation de la vulnérabilité de sécurité

  • Écrit par : Laura Taylor
  • Date de publication : juillet 18 2013



Le pourquoi et le comment d'une évaluation de la vulnérabilité de sécurité L.         Taylor - Août 9, 2000

Présentation         

        Alors que les entreprises continuent de mettre leurs sites e-commerce web-enabled contenant         les joyaux de leur infrastructure en ligne, l'importance de la sécurité         et la vie privée devient de plus en plus critique. Un moyen essentiel de relever         cette nécessité de protéger le site de la société est de mener une faille de sécurité         Évaluation. Une évaluation de la vulnérabilité de sécurité est un processus de gestion des risques,         généralement réalisée par des consultants experts. Ci-dessous TEC expose les raisons         pour avoir une évaluation de la vulnérabilité de la sécurité fait, comment une faille de sécurité         évaluation est effectuée, ce qui peut être acquise par l'enrôlement de sécurité         Processus d'évaluation de la vulnérabilité, et ce que vous devriez vous attendre à voir dans         un rapport d'évaluation de la vulnérabilité de sécurité.

src="/NavExp/media/TEC_Articles/TU_ST_LPT_08_09_00_1-1.gif"

Justification

        Il ya beaucoup d'autres raisons pour lesquelles l'obtention d'une évaluation de la vulnérabilité de la sécurité         de votre réseau, ou quelqu'un d'autre, peut être important pour vous. Le primaire         raisons pour faire une évaluation de la vulnérabilité de la sécurité sont les suivants:

            Client
  •           attentes

  • Prévention           contentieux

  •         Protéger
  •           votre flux de revenus

  •         Protéger
  •           flux de revenus de
    de vos clients           
  • Réduire           pannes de site et les problèmes performances

  • Création           sûr et transparent d'information accès

  • Prévention           déni de service attaque

  •         Prenant
  •           précautions lors des acquisitions ou des fusions

  •         Réunion du
  •           client contractuelle obligations

  •         Protéger
  •           contre les répercussions des fluctuations des stocks

  •         Test de
  •           votre Intrusion détection système Photos           
  •         Protéger
  •           vos systèmes de vulnérabilités créées par cavalier ingénieurs

  •         Bâtiment
  •           fidélisation de la clientèle

  •         Gagner
  •           avantage concurrentiel

  • Activation           l'action correction

  • qualification           pour Information Protection assurance

votre infrastructure         requiert un accès continu de l'information afin que vous puissiez offrir le niveau         de service que vos clients ont appris à attendre. Traiter avec la sécurité         vulnérabilités sur votre site et vos réseaux internes, n'est pas un         Option, vous avez à faire. Vous voulez offrir des services sans se soucier         si les systèmes que vous ou vos clients utilisent sont vulnérables aux rusé         les pirates.

accord         Vos Risques

        La raison la plus importante pour avoir une évaluation de la vulnérabilité de la sécurité         réalisée est de permettre des mesures correctives. Comment pouvez-vous savoir ce qu'il faut sécuriser         si vous ne savez pas ce qu'est l'insécurité?

spectacle         une évaluation de la vulnérabilité de la sécurité vous aidera à comprendre ce que         risque de votre organisation est d'exposer ses infrastructures pour. Si vous êtes         une société cotée en bourse, ou envisagent de le rendre public, la SEC exige         que vous comprenez tous vos risques d'entreprise, et de transmettre cette information         à vos investisseurs potentiels dans votre prospectus. Avoir une faille de sécurité         Évaluation effectuée par un organisme extérieur indépendant montre que votre organisation         a pris la diligence raisonnable et d'objectivité dans l'élaboration d'une infrastructure sécurisée.         

accord         Des attaques par déni de service

        Vos systèmes sont un village global des transactions, vous offrant         des informations hautement sensibles et confidentielles des entreprises et des clients.         Vous ne pouvez pas se permettre de laisser l'accès inapproprié à vos systèmes back-end,         ou d'exposer vos numéros de carte de crédit des clients, ce qui pourrait entraîner         à des litiges coûteux et chronophage. évaluations de la vulnérabilité de sécurité         vous aider en identifiant les failles de sécurité, et faire des recommandations         avant qu'ils n'affectent votre ligne de fond. des pannes de site à cause de déni de service         attaques sont un moyen sûr de brancher votre rentabilité. Vous devez garder votre         flux de revenus en vie, et si vous êtes un ASP, ou toute sorte de sous-traitance         fournisseur, vous pourriez avoir des obligations contractuelles pour garder vos clients '         flux de revenus vivants.

souvenir         le Février 9th distributed denial of service attacks que Yahoo! touchée,         Amazon, E * Trade, Ebay, et Buy.com? Des attaques par déni de service ne sont pas         nouveau. Ils ont été autour depuis les jours à partir de l'Internet, mais         ont gagné beaucoup en popularité au cours des dernières années en raison de la large         informations publiées sur les sites de piratage, ce qui donne des instructions succinctes         sur la façon de perpétrer ces attaques. Les types d'attaques par déni de service         qui c'est déroulé sur ces sites connus sont appelés Synfloods. Contrairement         à certains des reportages qui ont été générés à la suite de ces refus         des attaques de service, Synfloods sont évitables. Une attaque par déni de service         essentiellement des inondations d'un réseau, ou le site, avec plus de trafic que cela peut         gérer, causant assez de problèmes de performance que les utilisateurs légitimes sont         alors refusé le service, qui est où le nom vient.

Sur         le périmètre de la plupart des sites Internet, un routeur dit trafic Internet, connu         sous forme de paquets, dans quelle direction aller. Les routeurs sont pas vraiment les feux stop,         parce que le trafic Internet ne s'arrête jamais vraiment. Les routeurs sont plus comme rotaries         - Les paquets arrivent dans un sens et vont dans un autre. Plus souvent         qu'autrement, les routeurs sont de type apatrides. Cela signifie que tout simplement ils         transmettre les paquets, et ne pas essayer d'apprendre à partir des paquets. Stateful ou dynamique         périphériques réseau transmettent les paquets, et essayer d'apprendre à partir des paquets. Stateful         dispositifs qui peuvent en apprendre davantage sur les habitudes de l'adoption de la circulation à travers         eux peuvent prendre de meilleures décisions sur ce qu'il faut faire avec les paquets.

A         bonne évaluation de la vulnérabilité de sécurité peut vous dire quel déni de service         les attaques sont en mesure de compromettre votre site ou réseau. Avoir ce genre         d'informations à portée de main peut vous aider à décider si vous devez acheter un contenu         Smart Device stateful packet inspection, et quels dispositifs pourraient être mieux         pour votre organisation. Ayant ce genre d'information vous permet d'         prendre les mesures correctives appropriées. Si Yahoo!, Amazon, E * Trade, Ebay,         et Buy.com avait fait une récente évaluation de la vulnérabilité de la sécurité, ils         aurait su à l'avance que leurs sites sont vulnérables à un déni         des attaques de service. Comme les éditeurs de sécurité qui ont les technologies pour protéger         contre Synfloods ont vu leurs stocks augmenter après le refus du service Février         attaques, les victimes ont vu leurs stocks perdent la capitalisation boursière.

        Précaution Lors de fusions et acquisitions

        Avec la consolidation rapide des technologies et des marchés d'aujourd'hui,         partie d'une entreprise à l'acquisition ou fusion d'entreprises devraient toujours inclure         l'examen d'un courant à l'extérieur et indépendant, réseau faille de sécurité         Évaluation par l'entreprise qui poursuit l'organisation subissant         considération pour l'acquisition. Si une évaluation actuelle de la vulnérabilité de la sécurité         rapport n'est pas disponible, la société absorbante peut demander que l'on soit         générée dans le cadre du processus d'acquisition. Vous ne voudriez pas acheter une maison         sans passer par un processus d'inspection. De même, lors de l'évaluation         une société pour une acquisition dans laquelle le commerce sur Internet fait partie de la         plan de jeu, vous aurez envie de savoir quels risques vous êtes face avant de fermer         l'affaire.

Testing         Votre protection existant

        Si vous avez un système de détection d'intrusion installés sur votre réseau, comment         savez-vous si elle fonctionne correctement? Une faille de sécurité respectable         L'évaluation peut vous laisser savoir si votre système de détection d'intrusion est en fait         de travail, ou simplement créer des cycles CPU supplémentaires et la bande passante qui épuise         vos ressources de gestion. Systèmes sécurisés assurer que votre infrastructure         est libre d'intrusions et des interruptions indésirables, éliminer les retards dans         votre développement et de fourniture du service cycles.

Que         vous employez l'utilisation de pare-feu, systèmes de détection d'intrusions, serveurs proxy,         SSL, SSH ou les chaînes cryptées sécurisées, une évaluation de sécurité peuvent aider         déterminer si vos configurations actuelles contiennent une inconnue et potentiellement         extensions non autorisées, réseau laissés par les contrats existants, et Cavalier         ingénieurs. Matériel multiplie comme des lapins. Il ya une bonne chance que vous         avoir des dispositifs de réseau basé sur IP sur le trafic de votre réseau d'énergie du réseau,         et par conséquent, les failles de sécurité, que vous ne connaissez même pas.

Ingénieurs         communément lancer de nouveaux périphériques sur le réseau sans prendre en considération         les implications de sécurité. Votre organisme a besoin pour assurer à ses clients         que leur canal e-commerce est sécurisée. Une évaluation de sécurité indépendante,         ou d'audit, est une façon de montrer à vos clients que vous êtes sérieux au sujet         sécurité, et se soucient de leurs transactions. Le temps et l'argent vous         sauver, et la fidélisation de la clientèle que vous allez construire, en y associant les meilleures pratiques         Les services de sécurité vous donnera l'avantage concurrentiel dont vous avez besoin pour         maintenir une position de leadership sur le marché.

Méthodologie         

        Comment fonctionne une évaluation de la vulnérabilité de la sécurité, et ce genre d'information         pouvez-vous attendre d'obtenir d'un rapport d'évaluation de la vulnérabilité de la sécurité?         Il est possible d'effectuer une évaluation de la vulnérabilité de la sécurité vous-même,         et c'est quelque chose TEC encourage toutes les organisations doivent faire s'ils         disposer du temps et des ressources. Toutefois, aux fins d'objectivité, vous devriez         ont aussi une autorité extérieure à faire pour vous. Tout comme lorsque votre entreprise         crée son propre rapport annuel, il dispose également d'un audit de conseil extérieur         le rapport de l'objectivité, la diligence raisonnable, l'inspection finale et juridique         ramifications. De même, un processus d'évaluation de la vulnérabilité de la sécurité         doit être entrepris avec votre infrastructure d'information, site web,         et les systèmes de e-commerce. Celui qui effectue la vulnérabilité de sécurité         L'évaluation devrait utiliser un produit de balayage de sécurité industrie de renom tels         comme Cybercop ou Scanner de sécurité Internet.

Si         un cabinet de conseil extérieur effectue une évaluation de la vulnérabilité de la sécurité         de votre réseau, il est probable qu'ils vont demander à votre DSI ou directeur         des technologies de l'information de signer un formulaire qui leur donne le droit de faire une          éthique Hacker Pénétration test, qui est juste un autre         nom pour une évaluation de la vulnérabilité de sécurité, ou un audit de sécurité. Si vous         désir, n'hésitez pas à avoir ce document examiné par votre conseiller juridique,         et assurez-vous il ya une section qui proclame les résultats de l'audit soient         comme confidentielle que possible. Vous ne voulez pas que votre rapport d'audit montrant         que les données du marché sur un site Web sans votre consentement préalable.

Bien         toutes les entreprises devraient prendre l'initiative de mener une faille de sécurité         Évaluation, les banques et les institutions financières savent qu'ils feront l'objet         à un audit de sécurité à un moment donné. Lancer votre propre audit, de manière proactive         préparer votre entreprise à l'avance.

Si         vous êtes une institution bancaire en ligne, il est fort possible que votre         société mère, ou votre équipe de l'investisseur, seront d'abord envoyer leurs auditeurs         vous interviewer. En outre, votre régionales Federal Reserve Bank peut envoyer         dans son équipe de vérificateurs de vous interviewer à la première personne. A en personne formel         audit mené par une institution financière réputée est complet,         en profondeur, extrêmement difficile, et très épuisant. Il n'est pas rare         pour une telle vérification en personne pour durer toute une journée ou deux.

Si         vous vous attendez à ce genre de préface à une pénétration Ethical Hacker         test, il est préférable de vous préparer à l'avance, et apporter tout votre sécurité         les processus, les procédures et cartes réseau pour l'entretien de l'audit. Attendre         l'intervieweur d'audit pour demander de garder ces copies et pas les retourner.         Il est approprié pour au moins un membre senior de l'équipe de direction,         et une personne bien informée sur la sécurité et la technologie de réseau à         assister à une telle session. Après l'entrevue de vérification en personne est terminée,         ils voudront programmer jusqu'à temps d'une semaine pour effectuer la pénétration         tester sur tous vos réseaux, et peut-être plus long en fonction de la taille         de votre infrastructure réseau. S'ils sont intelligents, ils vont crever à         deux ports UDP et TCP. Auditeurs moins habiles, et parfois très bien connu         organisations de la technologie, ont été connus pour négliger les ports UDP. A         ingénieur en sécurité informé afficher les journaux sur votre pare-feu d'entreprise         peut déterminer quels ports sont poussés.

Si         vous avez l'audit effectué une inspection d'acquisition potentielle,         assurez-vous que vous trouvez un auditeur qui va vérifier UDP, ainsi que TCP         ports. Une évaluation de la vulnérabilité de sécurité best-of-breed commence habituellement         par faire un peu de collecte des données, et la recherche d'informations reconnaissance.         Certains de ces types de données l'auditeur va chercher des choses telles que         en essayant de récupérer votre table de routage, en essayant de voir s'ils peuvent obtenir         Masques de réseau ICMP, la recherche de serveurs IRC, à la recherche de configuration SSH         l'information et la recherche de fichiers de mots de passe. D'autres sortes de choses qu'ils         va essayer sera la vérification des comprennent un assortiment de vulnérabilités         associée à des protocoles de transfert de fichiers, des périphériques matériels, pirates         Chevaux de Troie et les backdoors, les problèmes SMTP et de messagerie, système de fichiers réseau         vulnérabilités, site web et trous CGI. Vérification de déni de service         attaques, la fonctionnalité du système de détection des intrusions, et les ports UDP est quelque chose         qui fixe les auditeurs premiere part du reste.

        Rapport

        Assurez-vous que vous recevez une copie du rapport, et assurez-vous qu'il dresse la liste des         risques dans l'ordre de leur gravité. Il sera alors possible pour vous d'         corriger systématiquement dans votre réseau les faiblesses qui exposent votre         infrastructure d'information sur la technologie, et vos clients, à une multitude         de menaces et d'attaques. Demandez à tous les diagrammes associés et cartes de réseau,         associée avec votre rapport de vulnérabilité. Le rapport doit résumer,         dans l'ordre de classement, la menace potentielle, ainsi que l'action recommandée         prendre pour concilier la vulnérabilité. Votre équipe organisationnelle peut alors         travailler à concilier autant de vulnérabilités que possible vous-même,         et ensuite déterminer ce qu'ils sont incapables de résoudre, et de décider si elle rend         sens pour embaucher un consultant extérieur pour résoudre la finale exceptionnelle         questions.

Conclusion

        Une évaluation de la vulnérabilité de la sécurité démontre l'échéance de votre gestion         diligence pour assurer la disponibilité du site, intégrité des données et informations         protection pour votre organisation et vos clients. Il n'a pas, cependant,         garantit que votre site ne peut pas être attaqué ou compromis avec succès.         Le rapport ne donne un profil de ce que votre posture de sécurité est         comme un instantané donné dans le temps. Ce profil peut être utilisé comme un guide         pour tracer l'activité du réseau douteux historique ainsi que pour sécuriser         maillons faibles de votre infrastructure réseau et système pour vous aider à atténuer         le risque de système avenir et les compromis du réseau.

En         résumé, une évaluation de la vulnérabilité de la sécurité vous aide à gérer client         attentes et sont conformes aux exigences de la SEC. Elle empêche également les litiges,         protège votre flux de revenus, protège le flux de revenus de votre client,         empêche les attaques par déni de service, de réduire les pannes et les performances du site         problèmes, crée un accès sécurisé d'informations, atténue les risques lors des acquisitions         ou fusions, répond à nos clients les obligations contractuelles, protège contre         les fluctuations des stocks, teste votre système de détection d'intrusion, les problèmes des rapports         donnée par l'extension des réseaux existants et des ingénieurs cavalier, construit client         loyauté, aide votre gain entreprise un avantage concurrentiel, permet de corriger         action, et vous admissible à l'assurance de la protection de l'information.

propos         l'auteur

Laura         Taylor, ancien directeur de la recherche pour la sécurité au TEC est maintenant le chef         Technology Officer de technologies pertinentes, Inc.

Pour         plus amples renseignements, visitez www.relevanttechnologies.com.         

 
comments powered by Disqus