Metodi di test di sicurezza per livello aziendale

Question

Metodi di test di sicurezza per livello aziendale

#1 da (1 voti)
#2 da (0 voti)
#3 da (0 voti)

5

Mi è stato chiesto di eseguire la valutazione del rischio per un'azienda. Lo scopo copre circa 100 applicazioni e in varie unità aziendali. Il compito principale è valutare i controlli di sicurezza attualmente implementati e fornire raccomandazioni dopo la valutazione. Fornire inoltre raccomandazioni sulla prevenzione della perdita di dati del codice sorgente e altre informazioni sensibili.

Mi sto avvicinando come una valutazione del rischio per la sicurezza a livello organizzativo utilizzando framework come NIST CSF mentre il mio collega sta pensando più a una valutazione del rischio di valutazione del rischio di processo SDLC / agile / devops, che a mio parere non è la sicurezza valutazione del rischio, ma una valutazione del rischio di processo a livello di progetto. Non ho ancora visto alcuna valutazione del rischio per la sicurezza delle metodologie di sviluppo in termini di sicurezza.

Voglio chiedere qual è il modo giusto per affrontare questa valutazione del rischio?

agile sdlc devops risk-analysis nist

posta ray bash 23.12.2018 - 05:48

fonte

3 risposte

Leggi altre domande sui tag agile sdlc devops risk-analysis nist

Directory trasversale in PHP con l'array $ _FILES? Quali sono i dettagli di implementazione e le motivazioni di AntiForgeryToken di ASP.NET MVC3?

score 1 · Answer 1

Puoi utilizzare i framework OpenSAMM o BSIMM per valutare il tuo processo di sviluppo in termini di sicurezza. Successivamente è possibile calcolare i rischi per le pratiche di sicurezza non implementate / incomplete da includere nella valutazione del rischio basata su CSF principale.

score 0 · Answer 2

Questa domanda è un po 'confusa. Stai solo esaminando la sicurezza delle applicazioni? O sono anche gli ambienti in cui sono inclusi? Per rispondere alla domanda di

How do I do a risk assessment at an enterprise level?

Defence in Depth è la consapevolezza che ci sono più livelli di sicurezza che devono essere affrontati in un approccio olistico. Guarda questa immagine

link

e wiki: link

Ci sono molti modi per farlo, ma prima devi definire l'ambito, che sembra mancare nella tua domanda. La sicurezza della rete è inclusa? "Endpoint" è incluso? Il phishing rientra nel tuo campo di applicazione. È solo la sicurezza delle applicazioni? Che mi dici della sicurezza fisica? Quando si dice Prevenzione della perdita di dati si sta parlando di perdita di informazioni da un database o si limitano i computer portatili corpenti dall'invio di file aziendali in uscita? Devi chiarire l'ambito prima di poter elaborare un piano chiaro. Una volta fatto questo:

link

La famiglia di standard 62443 copre la maggior parte del campo menzionato sopra, incluso SDLC. È "ingombrante" e non impone test specifici in molti dei certificati, ma è anche robusto e offre un ottimo "involucro" di test da cui partire.

OWASP ha una struttura per lo sviluppo di codice sicuro e pratiche di codifica sicure e hanno modelli di valutazione:

link

Per un approccio più classico usa il framework di base di Microsoft:

link

Questo coprirà la maggior parte dei livelli di sicurezza per un ambiente basato su Windows.

US-Cert ha framework:

link

E SANS ha BASE che copre anche molto terreno:

link

Non dimenticare anche la conformità. Hippa, PCI, SOX ed ecc. Tutte le informazioni disponibili che puoi trovare facilmente con una ricerca su Internet.

score 0 · Answer 3

La mia piattaforma go-go preferita per questa attività è Atomic Red Team , che condivide i tuoi obiettivi. Tuttavia, c'è molto da sapere sotto quello strato - molti di questi sono ben trattati nel libro, Hands-On Security in DevOps. C'è un sacco di personale e forense manageriali che esistono ben oltre i livelli tecnologici.

C'è ancora molto da sapere sul rischio Cyber, messo meglio in termini di SimpleRisk . Se vuoi parlare con gli imprenditori, sappi che c'è molto da correggere (in termini di ROI e produttività) ai livelli di efficienza, ma che il rischio Cyber è in definitiva quello di prevenire la perdita attraverso la lente dell'incertezza.

Il libro, Developing Cybersecurity Programs and Policies, 3rd Edition, copre questo aspetto quando afferma che l'azienda può solo tollerare un rendimento minimo del capitale del 3% su un budget di sicurezza informatica del 15%. Se vuoi mostrare come misurare i controlli, assicurati di controllare il libro, Come misurare tutto nel rischio di cibersicurezza.