對應用程序進行風險排名時要考慮的3件事

幾乎每個與我交談過的安全主管都希望擁有更多的安全資源。無論是進行威脅建模、手動代碼審查的人，還是只是能夠從每天收到的信息的暴風雪中清除誤報的人，每個人似乎都需要額外的幫助。讓我們首先看一下風險排名應用程序。

雖然更多的人當然可以提供幫助，但我們大多數人都在預算有限的組織中運營。該環境中的訣竅是充分利用有限的資源。這意味著將它們應用于最重要的應用程序和漏洞。

1.并非所有應用程序都值得您關注

我之前寫過關于風險排名應用程序的文章。我討論了為什么不是每個應用程序都值得相同的審查，以及如何應用不同的安全活動。這是一個快捷方式;請您的每個企業主說出他們成功所依賴的前三五個應用程序。該列表可能更短或更長，具體取決于組織的規模。

有時這相當簡單。如果應用程序在國防部統一能力批準產品列表 （UC-APL） 上，則維護其安全性至關重要，因為未修補的漏洞可能會導致失去認證。同樣，管理受法規遵從性約束的信息的應用程序（如PCI或HIPAA）可能被視為對業務目標至關重要。

另一方面，可能存在不管理關鍵信息的內部應用程序，從業務角度來看，安全性并不重要。要記住的主要規則是，并非所有應用程序都需要相同級別的安全審查。

2. 將這些應用程序映射到業務目標

這里的要點是，安全本身并不是目的。它應始終支持業務目標。本練習旨在確保按優先級排列的應用程序滿足此要求。重點關注應用程序如何影響收入、客戶信息、管理法規標準、公司 IP、商業信譽或任何其他戰略目標。

注意：從應用程序安全的角度來看，其中一些應用程序可能超出您的控制范圍。例如，您的銷售線索可能側重于 Salesforce.com。在這種情況下，您可能沒有直接能力提高應用程序的安全性，但您可以放入其他控件（例如 2 因素身份驗證）來緩解某些風險。

3. 定義最壞情況

正如所有應用程序的重要性并不相同一樣，所有潛在的攻擊也同樣糟糕。您需要有關這些應用程序的更多信息來確定操作的優先級。

我們有時會談論威脅建模。在最基本的層面上，威脅建模是一種“像黑客一樣思考”的練習，以弄清楚攻擊者想要完成什么（所需的“技術影響”）以及如何實現（“攻擊向量”）。

攻擊的“技術影響”是風險排名的關鍵組成部分?？赡艿募夹g影響包括為攻擊者提供讀取或修改數據、執行拒絕服務攻擊、執行未經授權的代碼以及獲得未經授權的權限的能力。您的目標是找出每個關鍵應用程序的“最壞情況”，以便以后可以確定單個漏洞的優先級。

例如，如果您的業務涉及社交媒體應用程序，則保持正常運行時間或應用程序的可用性可能至關重要。拒絕服務攻擊通過限制廣告曝光和使無法發布個人資料更新的用戶感到沮喪來影響收入。在這種情況下，對可用性降低具有高技術影響的漏洞優先于其他漏洞。相反，如果您有網上銀行應用程序，則可以淡化漏洞，從而降低可用性的技術影響。應用程序不可用比允許可能允許黑客讀取或修改數據的攻擊要好得多。

下一步 – 我們如何確定漏洞的優先級？

我們可能永遠無法擁有我們想要的所有安全資源。同時，確定哪些應用程序對您的業務目標最關鍵，有助于集中安全人員和修正活動。