Sto cercando una guida aggiornata e completa delle vulnerabilità IT generali / comuni (informazioni generali).
Non voglio che tu faccia il lavoro per me, voglio solo indicarmi la direzione giusta: un libro o una raccomandazione sul sito web sarebbe fantastico.
Il motore di ricerca di Google offre numerose informazioni, ma non sono in grado di riconoscere quali informazioni sono preziose.
Dai un'occhiata al benchmark di sicurezza / alle risorse della checklist da:
http://cisecurity.org/
The Center for Internet Security (CIS) is a non-profit enterprise whose Benchmarking and Metrics Division helps organizations reduce the risk of business and e-commerce disruptions resulting from inadequate technical security controls. The Division provides enterprises with consensus best practice standards for security configurations, as well as resources for measuring information security status and for making rational decisions about security investments.http://iase.disa.mil/stigs/checklist/
Defense Information Systems Agency (DISA)http://web.nvd.nist.gov/view/ncp/repository
http://csrc.nist.gov/fdcc/faq-common_security_configurations.html The National Checklist Program (NCP), defined by the NIST SP 800-70 Rev. 1, is the U.S. government repository of publicly available security checklists (or benchmarks) that provide detailed low level guidance on setting the security configuration of operating systems and applications.
Esaminare alcune liste di controllo relative al tuo ambiente può darti un'idea veloce delle cose a cui prestare attenzione.
Non è esattamente una guida, ma credo che CWE - Common Weakness Enumeration sia un'eccellente fonte di vulnerabilità software comuni (non solo web) ed è aggiornato. E naturalmente per l'applicazione web, il sito OWASP contiene molte informazioni utili sulle vulnerabilità delle applicazioni Web.
I quattro principali da esaminare (a seconda dei tipi a cui sei interessato), alcuni di questi sono stati citati:
A mio parere, conoscere vulnerabilità specifiche del software non è tanto utile per migliorare la sicurezza della tua organizzazione quanto eseguire una valutazione completa del rischio IT . Dopo la valutazione del rischio sarai in grado di valutare, in un modo più obiettivo, se il problema principale della tua infrastruttura IT sono le vulnerabilità del software, la sicurezza fisica, le persone, le procedure o altri elementi.
Esistono più metodologie e framework per eseguire valutazioni del rischio Magerit , OCTAVE , Mehari e altri.
Qui, in Spagna, Magerit è molto usato perché si suppone che le pubbliche amministrazioni debbano usarlo per identificare e essere in grado di ridurre i rischi per l'organizzazione. Magerit include un catalogo di minacce che può essere utilizzato come una "guida completa delle vulnerabilità IT generali / comuni" come richiesto nella domanda.
Leggi altre domande sui tag known-vulnerabilities