Come preparare un rapporto sulle debolezze di sicurezza nel nostro software [chiuso]

Question

Come preparare un rapporto sulle debolezze di sicurezza nel nostro software [chiuso]

#1 da (1 voti)

1

Faccio parte di un team di sviluppo interno che fornisce il software utilizzato nelle fabbriche della nostra azienda in tutto il mondo per la produzione e la gestione degli ordini e che consente inoltre ai siti di condividere i dati tra di loro PALLIDO.

Mi è stato recentemente assegnato il seguente obiettivo per essere completato entro 4 mesi:

Produce a report giving a risk analysis of the security weaknesses in our software suite and infrastructure, with current and proposed mitigations.

Questa sarà la prima volta che questo tipo di analisi viene eseguita sul nostro sistema e, non avendo alcuna esperienza di sicurezza significativa, non sono sicuro da dove cominciare.

Quindi, la mia domanda è: come dovrei affrontare al meglio un'analisi dei rischi e delle vulnerabilità di un sistema software aziendale e dell'infrastruttura che lo circonda?

O, per dirla in altro modo, come dovrei suddividere il compito di analizzare la sicurezza del nostro sistema e della nostra infrastruttura?

Tieni presente che esiste un team separato in un altro sito responsabile della sicurezza della rete generale .

Ci sono risorse consigliate (siti Web, libri, ecc.) a cui dovrei rivolgermi?

software risk-management risk-analysis business-risk

posta David Brower 21.03.2014 - 23:41

fonte

1 risposta

Leggi altre domande sui tag software risk-management risk-analysis business-risk

Un'app per dispositivi mobili è in grado di verificare quale password viene salvata localmente tramite una funzione rivolta all'utente? Perché ettercap sta puntando su tutta la rete?

score 1 · Accepted Answer

Le valutazioni del rischio sono davvero un compito in corso, perché il tuo rapporto produrrà un risultato che si basa sulle vulnerabilità note fino ad oggi. Ovviamente nuove vulnerabilità vengono scoperte continuamente, pertanto la valutazione dei rischi deve essere eseguita periodicamente al fine di fornire al management le informazioni più aggiornate.

Esistono diversi tipi di valutazioni del rischio che potrebbero applicarsi a questa situazione.

Se sei un analista e desideri capire se e dove possiedi vulnerabilità, è possibile utilizzare uno scanner automatico delle vulnerabilità per produrre una valutazione dell'applicazione e dell'infrastruttura su cui è in esecuzione. Dai un'occhiata a Nessus o Qualys , tuttavia ci sono molte altre opzioni.

Se sei un ingegnere del software o simile e hai una buona conoscenza dei requisiti di business e del flusso di processo dell'applicazione in questione, puoi intraprendere un modellazione delle minacce esercizio. Ciò consentirà di analizzare i flussi di dati e i modelli di dati per identificare le aree di rischio. Ciò può aiutare a definire i controlli di sicurezza che possono essere implementati nell'applicazione software stessa. Può anche identificare aree in cui altri controlli diversi, come firewall , IDS / IPS o WAF , può essere distribuito.

Se hai già distribuito la tua applicazione e hai bisogno di capire se è vulnerabile al compromesso, dove sono quelle vulnerabilità e qual è l'impatto delle vulnerabilità sui dati, allora un penetration test potrebbe essere utile.

Per un'organizzazione più matura, la gestione del rischio è un processo continuo che porta al miglioramento continuo. Esamina ISO 27001 e ISO 27005 per un approccio standard alla gestione dei rischi per la sicurezza delle informazioni.