初創公司的創始人常常會誤以為黑客不會在他們創業的公司身上浪費時間,因為他們還不夠大,不夠有名,沒有什么價值,
你的規模小、知名度小并不意味著你不會成為攻擊者的目標,初創公司的規模并不能使其免于網路攻擊,因為黑客們會不斷掃描互聯網,尋找他們可以利用的一切漏洞,
幸運的是,用戶也越來越意識到網路安全的重要性,并經常詢問初創公司他們用來保護資料的流程,
所以,如果你是一名CTO,正在考慮提高網頁或手機應用的網路安全狀況,那么你已經走上了正確的道路,但網路安全有很多選擇,你應該從哪里開始呢?
為了幫助你開始,我們創建了這個指南,其中涵蓋以下關鍵點:
?理解“什么是安全測驗?”
?理解執行安全測驗的原因
?界定網路安全測驗的范圍
?知道何時執行滲透測驗
什么是安全測驗?
安全測驗是一個廣義的術語,它指的是檢查系統、網路或軟體是否存在黑客和其他威脅者可以利用的漏洞的程序,它可以以多種形式出現,所以在本文中,我們將探討它的兩個主要組成部分:
**漏洞評估:**使用工具掃描系統或應用程式以找出安全問題的自動安全測驗,這些工具被稱為“漏洞掃描器”,它們執行自動測驗來發現應用程式或基礎設施中的漏洞,漏洞的型別可能是應用程式級的漏洞、云配置問題,或者僅僅是缺少安全補丁的軟體(網路安全漏洞最常見的原因之一),
**滲透測驗:**主要是由網路安全專家進行的手動評估(盡管通常由漏洞掃描工具支持),并確定攻擊者利用漏洞的程度,
滲透測驗是在某個時間點找到盡可能多的漏洞的好方法,但是你應該考慮在滲透測驗人員回家后你盡快收到新漏洞的警報,
漏洞掃描器還使組織能夠在進行更深入、通常更昂貴的手動測驗之前了解更多關于其安全狀態的資訊,這在許多情況下是顯而易見的,因為滲透測驗人員通常會通過運行相同的自動化工具來開始他們的測驗,
為什么要執行安全性測驗?
Veracode的軟體安全狀況報告顯示,83%的研究樣本(包括全球2300家公司使用的85000個軟體應用程式)在最初的安全測驗中至少發現了一個安全漏洞,如果沒有測驗,這些漏洞就會被發布到產品中,使軟體容易受到網路攻擊,
如果出于這個原因,你決定開始進行安全性測驗,只是為了在黑客之前找到自己的漏洞,那很好,你可以靈活地決定自己的需求,直接跳到下一節,否則,執行安全測驗的其他常見原因是:
- 第三方或客戶請求,如果合作伙伴或客戶特別要求你執行安全測驗,以確保他們的客戶資料免受網路攻擊,你可能有更嚴格的要求,然而,仍然有解釋的空間,客戶通常會要求進行“滲透測驗”,但他們很少具體說明這意味著什么,
- 合規認證和行業法規,許多行業法規或合規性認證還要求組織定期進行安全測驗,常見示例包括 ISO 27001、PCI DSS 和
SOC2,這些標準詳細說明了所需的測驗,但即使是最具體的也沒有具體說明測驗的方式或內容,因為這取決于具體的作業,出于這個原因,人們通常認為,接受測驗的公司最適合確定哪種級別的安全測驗在他們的場景中有意義,因此,你可能會發現以下指南在確定測驗內容和方式方面仍然很有用,
風險評估
每個公司都是獨一無二的,因此,你的風險對你來說也是獨一無二的,然而,很難知道什么是正確的測驗級別,你可以使用以下內容作為我們在該行業所看到的粗略指南:
1. 如果你不存盤特別敏感的資料
例如,你可能會提供網站正常運行時間監控工具并且不存盤特別敏感的資料,在你成長到足以成為特定目標之前,你可能只需要擔心那些尋找輕松選擇的人會不加區分地進行黑客攻擊,如果是這樣,你更有可能只需要自動漏洞掃描,
專注于任何暴露在互聯網上(或可能暴露在外)的系統,如任何遠程訪問(VPN、遠程管理員登錄)、防火墻、網站或應用程式、API,以及可能偶然發現自己在線的系統(云平臺中的任何東西都很容易被意外地放到互聯網上),
2. 如果你存盤客戶資料
?也許你是一個營銷資料分析平臺,所以你可能面臨較少來自內部人士和犯罪團伙的威脅,但你肯定需要擔心客戶訪問彼此的資料或一般的資料泄露,例如,你有一個應用程式,但任何人都可以在線注冊一個帳戶,你將要考慮從普通用戶的角度進行“經過身份驗證”的滲透測驗,你還需要確保員工的筆記本電腦都安裝了最新的安全更新補丁,
3.如果你提供金融服務
如果你是一家四處轉移資金的金融科技初創公司,你將需要擔心惡意客戶甚至惡意員工,以及針對你的網路犯罪團伙,
如果是這樣,你將需要考慮對所有這些場景進行持續的漏洞評估和定期的全手動滲透測驗,
4.如果你沒有任何暴露在互聯網上的東西
也許你根本沒有任何東西暴露在互聯網上,或者沒有開發面向客戶的應用程式,因此你的主要攻擊面是員工筆記本電腦和云服務,在這種情況下,對你自己的筆記本電腦進行自動漏洞掃描是最有意義的,
每個企業都是獨一無二的,沒有任何一種網路安全策略可以適用于所有初創公司,這就是為什么你需要從了解你自己的風險在哪里開始,
你需要保護什么?
理想情況下,在計劃安全測驗本身之前,你應該考慮你擁有哪些資產,包括技術資產和資訊資產,這個程序稱為“資產管理”,
一個非常簡單的例子可能是:“我們有 70 臺員工筆記本電腦,主要使用云服務,并將我們的客戶資料存盤和備份在 Google Cloud Platform 中,以及一個允許管理員和客戶訪問的應用程式,
我們最重要的資料是代表客戶存盤的資料,以及我們在人力資源系統中的員工資料,”考慮到這一點,然后幫助你開始形成確定測驗范圍的基礎,例如:
我們的人力資源系統是一個云服務,所以我們只是要求他們提供安全測驗證明(因此無需自己測驗),
我們在 Google Cloud 中有哪些 IP 地址,注冊了哪些域(有一些工具可以幫助解決此問題),
我們的工程師不下載生產資料庫,但可以訪問我們的云系統,因此他們的筆記本電腦、云和電子郵件帳戶也是我們攻擊面的一部分,
執行資產管理將幫助你跟蹤屬于你的組織的系統,并確定需要測驗哪些IP地址和域名,
初創公司應該多久執行一次安全測驗?
這取決于測驗的型別!顯然,自動化測驗的好處是它們可以根據需要定期運行,而滲透測驗的成本更高,需要頻繁運行,
至少每月進行一次例行漏洞掃描可以幫助加強你的IT基礎設施,這是國家網路安全中心(NCSC)的建議,這種做法有助于公司密切關注無休止的新威脅清單;每年有超過10000個新的漏洞被報告,除了定期的漏洞掃描外,還建議在每次系統更改時運行掃描,
漏洞掃描程式型別
你可以從基于網路、基于代理、Web 應用程式和基礎架構等多種型別的漏洞掃描程式中進行選擇,選擇取決于你要保護哪些資產,
網路掃描程式的一些經典例子是Nessus和Qualys,這兩家公司都是市場領導者,并提供了強大的安全性和漏洞覆寫率,如果你想要一個容易上手的工具,你可以考慮的一個現代替代方案是 Intruder ,
這種在線漏洞掃描器是專門為非安全專家開發的,同時提供高質量的檢查,以及對新出現的威脅的自動掃描,
Intruder 使用一種獨特的演算法來確定使你的系統暴露在外的問題的優先級,從而特別容易找出具有最高風險的問題,
漏洞評估的好處是什么?
漏洞評估旨在自動發現盡可能多的安全漏洞,以便在攻擊者找到它們之前緩解這些漏洞,它還有助于使滲透測驗(相比之下,滲透測驗是一個手動程序)更加有效,事實上,正如NCSC所解釋的,“通過定期進行漏洞掃描來處理‘容易實作的目標’,滲透測驗可以更有效地專注于更適合人類的復雜安全問題,”
何時運行滲透測驗?
滲透測驗人員模仿現實生活中的網路攻擊者,但與攻擊者不同,他們遵循預定義的范圍并且不會濫用組織的資產和資料,與漏洞掃描相比,他們更有可能發現復雜或高影響力的業務層弱點,例如操縱產品定價、使用客戶帳戶訪問另一位客戶的資料,或從一個初始漏洞轉向整個系統控制,缺點是,相比之下,它很貴,那么何時運行滲透測驗?
考慮上述風險評估的關鍵時間表,例如,在你的產品開發之后,但在你開始接受真正的客戶資料之前,或者在你掌握了一些不敏感的客戶資料之后,但在你開始掌握工資或健康相關資訊之前,
一旦你啟動并運行,滲透測驗應該在重大更改之后執行,例如改變你的身份驗證系統,發布一個主要的新特性;或者在6-12個月的小改變之后,因為從理論上講,每一個改變都可能意外地引入一個漏洞,
同樣,這取決于你的風險水平,如果你每三個月轉移一次資金也是可取的,但如果你處于風險范圍的低端,則每 12 個月一次是普遍接受的時間表,
滲透測驗應在實施重大系統更改之前或每隔 6-12 個月進行一次,
存在幾種型別的滲透測驗,滲透測驗可以尋找技術中的安全漏洞,例如在你的外部和內部網路以及 Web 應用程式中,但是,它也可以發現組織人力資源中的漏洞,例如在社會工程的情況下,
你選擇的滲透測驗公司取決于你要測驗的資產型別,但也應考慮其他因素,例如認證、價格和經驗,
總結
安全測驗是一個關鍵的網路安全程序,旨在檢測系統、軟體、網路和應用程式中的漏洞,它最常見的形式是漏洞評估和滲透測驗,但其目標總是在惡意攻擊者利用它們之前解決安全漏洞,
請記住,攻擊者還執行例行安全測驗,以查找它們可以濫用的任何漏洞,一個安全漏洞就足以讓他們發動大規模的網路攻擊,雖然這可能令人恐懼,但你的公司可以通過定期執行網路安全測驗來獲得更好的保護,
實施此策略可能具有挑戰性,因為沒有一刀切的安全測驗解決方案,如今,許多工具提供免費試用,這為小企業提供了一個很好的機會,可以在投入更大的投資之前找到正確的解決方案,
我這有整理網路安全相關的資料
【關注私我獲取哦】
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/291792.html
標籤:其他