Vidéo: Audit/diagnostic sur la sécurité et la salubrité. 2024
Il est essentiel de classer par ordre de priorité les vulnérabilités de sécurité car de nombreux problèmes peuvent ne pas être résolus et d'autres ne valent pas la peine d'être résolus. Vous pourriez ne pas être en mesure d'éliminer certaines vulnérabilités pour diverses raisons techniques, et vous pourriez ne pas être en mesure d'en éliminer d'autres. Ou, tout simplement, votre entreprise peut avoir un certain niveau de tolérance au risque. Chaque situation est différente.
Vous devez déterminer si l'avantage en vaut la peine et le coût. D'un autre côté, consacrer quelques semaines de temps de développement à la correction de vulnérabilités de scripts inter-sites et d'injection SQL peut valoir beaucoup d'argent, surtout si vous finissez par être manipulé par des tiers ou par perdre des clients potentiels. La même chose vaut pour les appareils mobiles que tout le monde jure ne contiennent aucune information sensible.
Vous devez étudier soigneusement chaque vulnérabilité, déterminer le risque commercial et évaluer si le problème mérite d'être résolu.
Il est impossible - ou du moins pas utile d'essayer - de corriger toutes les vulnérabilités que vous trouvez. Analysez chaque vulnérabilité avec soin et déterminez vos pires scénarios. Vous avez donc une falsification de requête inter-site (CSRF) sur l'interface Web de votre imprimante? Quel est le risque commercial? Peut-être que FTP fonctionne sur de nombreux serveurs internes. Quel est le risque commercial? Pour de nombreux défauts de sécurité, vous trouverez probablement le risque n'est tout simplement pas là.
Avec la sécurité - comme la plupart des domaines de la vie - vous devez vous concentrer sur vos tâches les plus rentables. Sinon, vous allez vous rendre fou et ne sera probablement pas très loin dans la réalisation de vos propres objectifs. Voici une méthode rapide à utiliser pour hiérarchiser vos vulnérabilités. Vous pouvez modifier cette méthode pour répondre à vos besoins. Vous devez tenir compte de deux facteurs principaux pour chacune des vulnérabilités que vous découvrez:
-
Probabilité d'exploitation: Quelle est la probabilité que la vulnérabilité spécifique que vous analysez sera exploitée par un pirate, un utilisateur malveillant, malware, ou une autre menace?
-
Impact si exploité: À quel point serait-il préjudiciable si la vulnérabilité que vous analysez était exploitée?
De nombreuses personnes ignorent souvent ces considérations et supposent que chaque vulnérabilité découverte doit être résolue. Grosse erreur. Ce n'est pas parce qu'une vulnérabilité est découverte que cela s'applique à votre situation et à votre environnement. Si vous adoptez l'approche selon laquelle toutes les vulnérabilités seront traitées indépendamment des circonstances, vous perdrez beaucoup de temps, d'efforts et d'argent inutiles, et vous pourrez mettre en place votre programme d'évaluation de sécurité en cas d'échec à long terme.
Attention toutefois à ne pas trop vous balancer dans l'autre sens! De nombreuses vulnérabilités ne semblent pas trop sérieuses à la surface, mais pourraient très bien mettre votre organisation dans l'eau chaude si elles sont exploitées. Creuser profondément et utiliser un peu de bon sens.
Classez chaque vulnérabilité en utilisant des critères tels que Élevé, Moyen et Faible ou une évaluation de 1 à 5 (où 1 est la priorité la plus basse et 5 la plus élevée) pour chacune des deux considérations. Voici un exemple de tableau et une vulnérabilité représentative pour chaque catégorie.
| Probabilité élevée | Probabilité moyenne | Faible probabilité | |
|---|---|---|---|
| Élevée | Information confidentielle stockée sur un ordinateur portable non crypté | Sauvegarde sur bande non cryptée et / ou < protégé par mot de passe
Aucun mot de passe administrateur sur un système SQL Server interne |
Impact moyen |
| E-mails non chiffrés contenant des informations sensibles | envoyées
Patch Windows manquant sur un serveur interne pouvant être < exploité avec Metasploit |
Aucun mot de passe requis sur plusieurs comptes administrateur | Low Impact
Signatures de virus obsolètes sur un PC autonome dédié à |
| navigation Internet | Employés ou visiteurs accédant à un réseau non autorisé accès
Chiffrements de chiffrement faibles utilisés sur un site Web de marketing |
La hiérarchisation des vulnérabilités indiquée repose sur la méthode qualitative d'évaluation des risques de sécurité. En d'autres termes, c'est subjectif, basé sur votre connaissance des systèmes et des vulnérabilités. Vous pouvez également prendre en compte toutes les évaluations de risque que vous obtenez de vos outils de sécurité - ne vous fiez pas uniquement à eux, car un fournisseur ne peut pas fournir un classement final des vulnérabilités. |
