對應用程序進行風險排名時要考慮的3件事

幾乎每個與我交談過的安全主管都希望擁有更多的安全資源。無論是進行威脅建模、手動代碼審查的人，還是只是能夠從每天收到的信息的暴風雪中清除誤報的人，每個人似乎都需要額外的幫助。讓我們首先看一下風險排名應用程序。

雖然更多的人當然可以提供幫助，但我們大多數(shù)人都在預算有限的組織中運營。該環(huán)境中的訣竅是充分利用有限的資源。這意味著將它們應用于最重要的應用程序和漏洞。

1.并非所有應用程序都值得您關注

我之前寫過關于風險排名應用程序的文章。我討論了為什么不是每個應用程序都值得相同的審查，以及如何應用不同的安全活動。這是一個快捷方式;請您的每個企業(yè)主說出他們成功所依賴的前三五個應用程序。該列表可能更短或更長，具體取決于組織的規(guī)模。

有時這相當簡單。如果應用程序在國防部統(tǒng)一能力批準產品列表 （UC-APL） 上，則維護其安全性至關重要，因為未修補的漏洞可能會導致失去認證。同樣，管理受法規(guī)遵從性約束的信息的應用程序（如PCI或HIPAA）可能被視為對業(yè)務目標至關重要。

另一方面，可能存在不管理關鍵信息的內部應用程序，從業(yè)務角度來看，安全性并不重要。要記住的主要規(guī)則是，并非所有應用程序都需要相同級別的安全審查。

2. 將這些應用程序映射到業(yè)務目標

這里的要點是，安全本身并不是目的。它應始終支持業(yè)務目標。本練習旨在確保按優(yōu)先級排列的應用程序滿足此要求。重點關注應用程序如何影響收入、客戶信息、管理法規(guī)標準、公司 IP、商業(yè)信譽或任何其他戰(zhàn)略目標。

注意：從應用程序安全的角度來看，其中一些應用程序可能超出您的控制范圍。例如，您的銷售線索可能側重于 Salesforce.com。在這種情況下，您可能沒有直接能力提高應用程序的安全性，但您可以放入其他控件（例如 2 因素身份驗證）來緩解某些風險。

3. 定義最壞情況

正如所有應用程序的重要性并不相同一樣，所有潛在的攻擊也同樣糟糕。您需要有關這些應用程序的更多信息來確定操作的優(yōu)先級。

我們有時會談論威脅建模。在最基本的層面上，威脅建模是一種“像黑客一樣思考”的練習，以弄清楚攻擊者想要完成什么（所需的“技術影響”）以及如何實現(xiàn)（“攻擊向量”）。

攻擊的“技術影響”是風險排名的關鍵組成部分?？赡艿募夹g影響包括為攻擊者提供讀取或修改數(shù)據(jù)、執(zhí)行拒絕服務攻擊、執(zhí)行未經(jīng)授權的代碼以及獲得未經(jīng)授權的權限的能力。您的目標是找出每個關鍵應用程序的“最壞情況”，以便以后可以確定單個漏洞的優(yōu)先級。

例如，如果您的業(yè)務涉及社交媒體應用程序，則保持正常運行時間或應用程序的可用性可能至關重要。拒絕服務攻擊通過限制廣告曝光和使無法發(fā)布個人資料更新的用戶感到沮喪來影響收入。在這種情況下，對可用性降低具有高技術影響的漏洞優(yōu)先于其他漏洞。相反，如果您有網(wǎng)上銀行應用程序，則可以淡化漏洞，從而降低可用性的技術影響。應用程序不可用比允許可能允許黑客讀取或修改數(shù)據(jù)的攻擊要好得多。

下一步 – 我們如何確定漏洞的優(yōu)先級？

我們可能永遠無法擁有我們想要的所有安全資源。同時，確定哪些應用程序對您的業(yè)務目標最關鍵，有助于集中安全人員和修正活動。