本文旨在描繪三種方法的肖像，這三種方法將允許您主動評估您的計算機系統(tǒng)的全部或部分的安全級別。這可能涉及到您的技術(shù)基礎(chǔ)(架構(gòu)、服務(wù)器)、應(yīng)用程序(軟件)或組織(規(guī)則和用戶的管理)。我們將使用一個簡單的比喻來說明它們:暴露于潛在闖入的房子，類似于具有某些脆弱性的IS。如果RSSI與網(wǎng)絡(luò)問題相關(guān)的預(yù)算在2022年增加，某些簡單的做法已經(jīng)可以讓你避免最壞的情況。

級別1:漏洞掃描

那是什么?

A 漏洞掃描是一個可以自動化的過程，允許您梳理整個或部分計算機系統(tǒng)(應(yīng)用程序、服務(wù)器、網(wǎng)絡(luò))。目標?檢測系統(tǒng)設(shè)計、配置和保護方式中可能存在的漏洞、弱點和錯誤。

在什么樣的背景下，應(yīng)該多久使用一次?

建議每年在內(nèi)部進行幾次這些測試:至少一個季度一次，最好一個月一次。

這些掃描大多數(shù)是自動的;定期舉辦這些活動會更加容易。從更細的角度來看，還可以設(shè)置工具對每個新部署執(zhí)行掃描(例如，檢查依賴關(guān)系是否更新)。

優(yōu)點和缺點

優(yōu)勢:

• 成本:這些掃描可以在內(nèi)部完成，因此成本較低，而且是針對一些開源工具的。
• 時間:可以使用自動工具，根據(jù)定義的范圍，只需要幾個小時就可以完成。

缺點:

• 相關(guān)性:分析停留在表面上，所有的掃描并不一定建議對已識別的漏洞進行修復(fù)。
• 質(zhì)量:在這些掃描中經(jīng)常會出現(xiàn)假陽性，這需要人工干預(yù)來進行分類。
• 優(yōu)先級:這些掃描報告了與您的業(yè)務(wù)挑戰(zhàn)不相關(guān)的漏洞，因此需要人工干預(yù)來重新確定要進行的項目的優(yōu)先級。

但這和我們的房子有什么關(guān)系?

在這種情況下，想法是你自己在你的房子周圍列出所有可能導(dǎo)致犯罪的錯誤:一扇破窗戶，一把18世紀的鎖，一個安全攝像頭平面監(jiān)控，等等。(=漏洞)。

這個練習(xí)沒有進一步深入，您的列表也不一定會告訴您這些缺陷是否可被利用:也許這個看似脆弱的鎖最終會被證明是不可侵犯的。除非你嘗試去強迫，否則不可能知道。

第二級:安全審計

那是什么?

A 安全審計由人工干預(yù)組成，通常由外部服務(wù)提供商執(zhí)行，并允許在時間T查看全部或部分安全風(fēng)險一個是。

這一次的目標不僅是驗證是否符合既定的標準和協(xié)議(例如，針對公司領(lǐng)域的程序或法律/法規(guī)),還包括利用傾聽者的專業(yè)知識。

在什么樣的背景下，應(yīng)該多久使用一次?

考慮到這些審計的成本，頻率在邏輯上低于漏洞掃描。這也在很大程度上取決于你的公司及其所處行業(yè)的風(fēng)險敞口:金融機構(gòu)或制藥實驗室往往會更經(jīng)常地進行這些審計。

因此，建議平均每年至少組織一次審計，最好是每季度一次。在發(fā)生數(shù)據(jù)泄露、系統(tǒng)更新或數(shù)據(jù)遷移時，這些審核也是必要的。或者，更一般地說，你的生活中的任何重大變化。

優(yōu)點和缺點

優(yōu)勢:

• 專業(yè)知識和客觀性:由外部行為者進行的審計允許您獲得更深入和相關(guān)的觀察和建議。與內(nèi)部審計相比，這也避免了任何不透明或利益沖突。
• 規(guī)章:審計提供了一個“印記”或者證明你的信息系統(tǒng)符合某些標準。它可以讓你為更正式的審計(政府、ANSSI類型的組織等)做好準備。)

缺點:

• 成本:調(diào)用外部服務(wù)提供商確實比漏洞掃描甚至內(nèi)部審計更昂貴
• 時間:專家必須花時間熟悉您的信息系統(tǒng)和業(yè)務(wù)挑戰(zhàn)，以便提出最佳建議。

但這和我們的房子有什么關(guān)系?

這一次，你請你的鄰居，一名警察，來為你完成先前的練習(xí)。這將對你家的安全有更客觀和更敏銳的觀察，最重要的是，了解市場的安全標準。

他不僅能夠觀察到你家里的潛在缺陷(像你一樣)，還會為你提出建議，讓你達到市場標準:裝甲門、五點式鎖、防盜窗。然而，他總是只是看著，并沒有試圖闖入你的家。

第三級:滲透測試，或“筆測試”

那是什么?

這入侵測試，或稱“滲透測試”，可以將攻擊與環(huán)境聯(lián)系起來，并盡可能多地利用發(fā)現(xiàn)的漏洞。

這最終是一種更現(xiàn)實、更具體的審計:你授權(quán)公司以外的人站在黑客的立場上攻擊你的is(應(yīng)用程序、服務(wù)器、網(wǎng)絡(luò))。例如，通過模擬開發(fā)人員工作站被盜，甚至有可能在物理上模擬真實的攻擊場景。

有三種方式要進行這些筆測試:

1. 在一個 黑盒子:攻擊者無權(quán)訪問您的IS/獲取其信息。這種模式模擬來自與您的公司完全不同的黑客的攻擊。
2. 灰色方框:攻擊者可以訪問您的信息系統(tǒng)。這種操作模式模擬，例如，一個沒有最新信息的前雇員的入侵企圖。
3. 在一個白箱:攻擊者擁有對您的信息系統(tǒng)的所有必要訪問權(quán)限。例如，這種操作模式模擬公司員工或具有公司訪問權(quán)限的攻擊者的入侵嘗試。因此，這是一種非常類似于安全審計的方法，只是目的略有不同(妥協(xié)的目的與合規(guī)性目標)。

在什么樣的背景下，應(yīng)該多久使用一次?

像安全審計一樣，頻率很大程度上取決于您的暴露程度和您所在的行業(yè)商業(yè)運作.

但是，請注意不要誤解:所有網(wǎng)站和應(yīng)用程序面對風(fēng)險:對于高度敏感的應(yīng)用，建議達到略高于市場標準的水平。對于一個不太公開的應(yīng)用程序，在每次主要版本升級時創(chuàng)建一些就足夠了。

優(yōu)點和缺點

優(yōu)勢:

• 真實性/相關(guān)性:pen測試是模擬真實攻擊的最具體的方法;因此，該報告的假設(shè)性較低，建議非常具有可操作性。

缺點:

• 風(fēng)險:通過在真實條件下模擬攻擊，您完全暴露了您的IS的安全性。校準不當?shù)墓P測試可能會導(dǎo)致數(shù)據(jù)損壞或服務(wù)器崩潰等后果。
• 倫理:技術(shù)曾經(jīng)和真正的黑客一樣;重要的是要探究并了解你的員工、客戶、服務(wù)提供商等如何看待這些筆式測試。

但這和我們的房子有什么關(guān)系?

這一次，你要求這個仍然駐扎在當?shù)鼐炀值泥従雨J入你的家，但通過一個特定的和最敏感的地方:你的前門。它的目標是訪問并嘗試破壞您家中盡可能多的物品，分析主要缺陷，并列出容易被盜的物品。

但是，您可以在三種方法之間進行選擇:

白箱當前位置你不僅要給他們前門的鑰匙，還要給他們車庫、保險箱等的鑰匙。

灰色方框你只給他們你前門的鑰匙。

黑盒子:你什么都不給他們，你看他們是否設(shè)法進入你的家。

這個模擬測試將允許你用現(xiàn)實來面對你對你家的安全性的假設(shè)。也許你珍藏的那把18世紀的鎖會比掃描或?qū)徲媹蟾骘@示的要堅固得多。

結(jié)論

因此，有幾種方法可以讓你分析你的信息系統(tǒng)的安全級別。你很有可能將幾種方法結(jié)合起來，但是你的決定將取決于幾個標準:你公司環(huán)境的敏感性，你的信息系統(tǒng)的規(guī)模，以及你希望分配給它的時間和預(yù)算。

如果你想更深入地研究這個問題，或者如果你的公司在這方面已經(jīng)足夠成熟，第四種方法可能會讓你感興趣 紅隊“筆測試。這種方法來源于經(jīng)典的pen測試，覆蓋范圍更廣(例如，整個is ),傳播時間更長(幾個月),這意味著您公司中很少有人知道。