幾乎每個(gè)與我交談過的安全主管都希望擁有更多的安全資源。無論是進(jìn)行威脅建模、手動(dòng)代碼審查的人，還是只是能夠從每天收到的信息的暴風(fēng)雪中清除誤報(bào)的人，每個(gè)人似乎都需要額外的幫助。讓我們首先看一下風(fēng)險(xiǎn)排名應(yīng)用程序。

雖然更多的人當(dāng)然可以提供幫助，但我們大多數(shù)人都在預(yù)算有限的組織中運(yùn)營(yíng)。該環(huán)境中的訣竅是充分利用有限的資源。這意味著將它們應(yīng)用于最重要的應(yīng)用程序和漏洞。

1.并非所有應(yīng)用程序都值得您關(guān)注

我之前寫過關(guān)于風(fēng)險(xiǎn)排名應(yīng)用程序的文章。我討論了為什么不是每個(gè)應(yīng)用程序都值得相同的審查，以及如何應(yīng)用不同的安全活動(dòng)。這是一個(gè)快捷方式;請(qǐng)您的每個(gè)企業(yè)主說出他們成功所依賴的前三五個(gè)應(yīng)用程序。該列表可能更短或更長(zhǎng)，具體取決于組織的規(guī)模。

有時(shí)這相當(dāng)簡(jiǎn)單。如果應(yīng)用程序在國(guó)防部統(tǒng)一能力批準(zhǔn)產(chǎn)品列表 （UC-APL） 上，則維護(hù)其安全性至關(guān)重要，因?yàn)槲葱扪a(bǔ)的漏洞可能會(huì)導(dǎo)致失去認(rèn)證。同樣，管理受法規(guī)遵從性約束的信息的應(yīng)用程序（如PCI或HIPAA）可能被視為對(duì)業(yè)務(wù)目標(biāo)至關(guān)重要。

另一方面，可能存在不管理關(guān)鍵信息的內(nèi)部應(yīng)用程序，從業(yè)務(wù)角度來看，安全性并不重要。要記住的主要規(guī)則是，并非所有應(yīng)用程序都需要相同級(jí)別的安全審查。

2. 將這些應(yīng)用程序映射到業(yè)務(wù)目標(biāo)

這里的要點(diǎn)是，安全本身并不是目的。它應(yīng)始終支持業(yè)務(wù)目標(biāo)。本練習(xí)旨在確保按優(yōu)先級(jí)排列的應(yīng)用程序滿足此要求。重點(diǎn)關(guān)注應(yīng)用程序如何影響收入、客戶信息、管理法規(guī)標(biāo)準(zhǔn)、公司 IP、商業(yè)信譽(yù)或任何其他戰(zhàn)略目標(biāo)。

注意：從應(yīng)用程序安全的角度來看，其中一些應(yīng)用程序可能超出您的控制范圍。例如，您的銷售線索可能側(cè)重于 Salesforce.com。在這種情況下，您可能沒有直接能力提高應(yīng)用程序的安全性，但您可以放入其他控件（例如 2 因素身份驗(yàn)證）來緩解某些風(fēng)險(xiǎn)。

3. 定義最壞情況

正如所有應(yīng)用程序的重要性并不相同一樣，所有潛在的攻擊也同樣糟糕。您需要有關(guān)這些應(yīng)用程序的更多信息來確定操作的優(yōu)先級(jí)。

我們有時(shí)會(huì)談?wù)撏{建模。在最基本的層面上，威脅建模是一種“像黑客一樣思考”的練習(xí)，以弄清楚攻擊者想要完成什么（所需的“技術(shù)影響”）以及如何實(shí)現(xiàn)（“攻擊向量”）。

攻擊的“技術(shù)影響”是風(fēng)險(xiǎn)排名的關(guān)鍵組成部分?？赡艿募夹g(shù)影響包括為攻擊者提供讀取或修改數(shù)據(jù)、執(zhí)行拒絕服務(wù)攻擊、執(zhí)行未經(jīng)授權(quán)的代碼以及獲得未經(jīng)授權(quán)的權(quán)限的能力。您的目標(biāo)是找出每個(gè)關(guān)鍵應(yīng)用程序的“最壞情況”，以便以后可以確定單個(gè)漏洞的優(yōu)先級(jí)。

例如，如果您的業(yè)務(wù)涉及社交媒體應(yīng)用程序，則保持正常運(yùn)行時(shí)間或應(yīng)用程序的可用性可能至關(guān)重要。拒絕服務(wù)攻擊通過限制廣告曝光和使無法發(fā)布個(gè)人資料更新的用戶感到沮喪來影響收入。在這種情況下，對(duì)可用性降低具有高技術(shù)影響的漏洞優(yōu)先于其他漏洞。相反，如果您有網(wǎng)上銀行應(yīng)用程序，則可以淡化漏洞，從而降低可用性的技術(shù)影響。應(yīng)用程序不可用比允許可能允許黑客讀取或修改數(shù)據(jù)的攻擊要好得多。

下一步 – 我們?nèi)绾未_定漏洞的優(yōu)先級(jí)？

我們可能永遠(yuǎn)無法擁有我們想要的所有安全資源。同時(shí)，確定哪些應(yīng)用程序?qū)δ臉I(yè)務(wù)目標(biāo)最關(guān)鍵，有助于集中安全人員和修正活動(dòng)。