跳到内容
Menu
menu

图片由iStock

物理保安从业人员的网络101课程

谈到网络安全, 有许多术语和概念对物理安全专业人员和IT专业人员都有帮助. 通常,这些术语被不正确地使用或互换——这会造成混乱.

漏洞vs利用vs后门

最容易混淆的三个术语是脆弱性、利用和后门. 每个术语都有其明显不同的定义和目的.

A 脆弱性 这是系统的缺陷吗, 或者在系统中的某些软件中, 这可能为攻击者提供了一种绕过主机操作系统或软件本身的安全基础设施的方法. 它不是一扇敞开的门,而是一个弱点,如果受到攻击,可以提供一个入口. 所有软件都有缺陷或弱点,这些缺陷通常会随着时间的推移而被发现. 软件公司的内部测试通常会试图在发布前消除所有这些问题, 但是,在每个不同的网络和系统集成中测试软件是不可能的.


漏洞扫描并不意味着漏洞已被利用.


一旦攻击者在软件代码或系统中发现漏洞,则 利用 是通过煞费苦心地找出如何利用该漏洞进行恶意行为的目的来实现的吗. 利用是试图将漏洞(弱点)转化为一种破坏系统的实际方式的行为. 可以“利用”漏洞将其转变为攻击系统的可行方式.

将软件漏洞转化为漏洞利用是很困难的. 谷歌, 例如, 奖励发现Chrome网络浏览器漏洞的安全研究人员. 谷歌的分红在500美元到3000美元之间. 然而,它也会举办安全专家竞赛,展示被利用的漏洞. 这些专家获得的奖金要多得多——高达6万美元. 在试图利用漏洞时,奖金的差异反映了任务的重要性.

后门 设备的管理功能经常有入口吗, 代码开发人员故意放置在那里. 这在代码开发中很常见,因为很难预测添加新代码或新功能时会发生什么. 如果在开发过程中出现问题, 后门允许开发者回到代码或设备中. 在代码发布给客户使用之前,后门通常会从代码中移除.

漏洞扫描与渗透测试

就像前面提到的术语一样,与网络安全相关的评估或测试经常被混淆. 其中最常见的两种是漏洞扫描和渗透测试(也称为钢笔测试或pentest).

A 漏洞扫描 是一个自动的、高级的测试,可以查找并报告潜在的或已知的漏洞吗. 相比之下,一个 渗透测试 是一个详细的, 由真人进行的实际检查,试图发现和利用您系统中的弱点.

漏洞扫描是将已知漏洞与产品当前软件/固件版本和配置进行比较的即时快照. 漏洞扫描并不意味着漏洞已被利用. 此外,漏洞扫描无法预测未来的漏洞. 因为他们只是扫描设备寻找文档, 它们不是任何整体系统安全性的证明,应该继续跟踪.

治理、风险管理、合规和法规

治理, 风险管理, 和遵从性(GRC), 随着监管, 所有旨在确保组织可靠地实现目标的概念都是紧密相关的吗, 地址不确定性, 并正直地行事. 

治理 过程的组合是否由董事(或董事会)建立和执行,并反映在组织的结构中,以及如何对其进行管理和引导以实现目标.


最终,企业必须遵守规则——这是最低要求.


治理不仅包括业务必须遵守的外部规则, 但也包括企业用于管理风险和威胁的内部指导. 这进一步保护了企业,而不仅仅是法规所要求的. 以PCI-DSS为例 (支付卡行业数据安全标准) 对银行实施有关使用加密来保护支付和信用卡数据的规定. 银行的内部治理可以更进一步,制定一项政策,要求对公司网络上的所有数据进行加密. 现在,银行不仅仅是在保护支付数据, 但它的所有数据,从而进一步降低了其他关键业务信息被拦截的风险.

风险管理 包括预测和管理风险,这些风险可能会阻碍组织在不确定的情况下可靠地实现其目标.

在风险管理方面, 对于企业来说,从网络安全风险的可能性和潜在影响方面评估其潜在的网络安全风险是一个很好的起点. 这样做, 对于企业来说,识别数据是很重要的, 设备, 系统, 以及帮助它实现目标的设施, 同时也要确定谁该为他们负责. 这包括盘点设备、系统、软件、固件等.; identifying mission-critical objectives; identifying 程序 and security policies; and then performing a 风险 assessment and determining a 风险管理 plan. 有可靠的风险管理框架,以支持公司的评估过程. 一个很好的例子是 NIST网络安全框架.

合规 是否遵守规定的边界(法律和法规)和自愿的边界(公司政策), 程序, 等.).

本质上, 法规遵循是确保业务遵守治理和法规所概述的控制目标的过程. 它可以由测试(渗透测试或内部测试)组成,以确保(像银行示例中那样)所有数据都是加密的. 它还提供文档或证明,说明企业正在用行动支持其声明的政策.

这很重要,因为在某些法规中 ISO 27001, SOC2, or U.S. 美国国防部网络安全成熟度模型认证美国的外部审计人员将核实企业的行为是否符合政策规定.

这个过程很重要,因为如果有人配置错误,设备就没有加密, 可能会发生漏洞. 在这种情况下,银行必须向法院证明自己没有过失. 世行将需要通过政策来证明, 测试, 审计表明,该公司确实采取了措施来防止违约. 合规有助于证明该公司并非鲁莽行事. 显然,如果被发现有过失,企业将支付的罚款或罚款将是原来的许多倍.

监管 是否由政府行政机构进行管理,该机构已被授予在特定的责任范围内通过法规或规章监督和执行适当行为的权力.

法规(和立法,或提议的法规)是企业被授权做的事情. 法规有三种基本形式:契约、法定和监管. 这取决于公司经营的业务类型, 与其他公司相比,它将承担更多或更少的监管义务. 例如, 连锁咖啡店的监管义务要比医院少得多, 银行, 或者是政府承包商.

最终,企业必须遵守规则——这是最低要求. 其目的应该是获取这些最小需求,并创建策略并从中提取控制目标. 法规往往是政策的起点.

风险和威胁

风险和威胁是另外两个经常互换使用的术语,因此是不正确的. 为了更好地理解这些术语, 考虑到你有一份你想要保护的财产, 像所有的资产, 它有一个弱点. 有了漏洞,就有了 威胁 有人会利用这个弱点. 威胁的大小取决于有人利用该漏洞的可能性. 的 风险 如果威胁确实发生或漏洞被利用,资产对业务的潜在影响或损失是多少.    

韦恩Dorris, CISSP, 他是Axis Communications的网络安全业务开发经理,还是安全行业协会网络安全顾问委员会成员.

arrow_upward
友情链接: 1 2 3 4 5 6 7 8 9 10