Анализ политик и процедур

Создание стратегии управления уязвимостями 
 
289
Анализ уязвимостей 
После анализа политик и процедур необходимо провести анализ уязвимо-
стей, чтобы определить уязвимость организации и выяснить, достаточно ли 
у нее защитных мер, чтобы защитить себя. Анализ уязвимостей выполняется 
с помощью инструментов, которые мы обсуждали в главе 4 «Разведка и сбор 
данных». Здесь используются те же инструменты, что применяют хакеры для 
определения уязвимостей организации, чтобы принять решение, какие экс-
плойты использовать. Обычно для этого процесса организации вызывают спе-
циалистов, проводящих тестирование на проникновение в сеть. Самым боль-
шим недостатком в анализе уязвимостей является количество выявленных 
ложных срабатываний, которые необходимо отфильтровать. Поэтому следует 
использовать вместе разные инструменты, чтобы составить надежный список 
существующих в организации уязвимостей.
Специалисты, проводящие тестирование на проникновение, должны ими-
тировать реальные атаки и выявлять системы и устройства, которые испы-
тывают стресс и подвергаются компрометации в процессе этого. В конце вы-
явленные уязвимости классифицируются в соответствии с рисками, которые 
они представляют для организации. Уязвимости с меньшей степенью серьез-
ности и подверженности воздействию обычно имеют низкий рейтинг. В си-
стеме оценки уязвимостей есть три класса. Младший класс предназначен для 
уязвимостей, которые требуют много ресурсов для эксплуатации, но при этом 
оказывают очень небольшое влияние на организацию. Умеренный класс пред-
назначен для уязвимостей с разумным потенциалом для повреждения, экс-
плуатации и воздействия. Класс повышенной серьезности предназначен для 
уязвимостей, которые требуют мало ресурсов для эксплуатации, но могут на-
нести большой ущерб организации при их наличии.
Анализ угроз 
Угрозы организации представляют собой действия, код или программное 
обеспечение, которые могут привести к подделке, уничтожению данных или 
прерыванию функционирования служб. Анализ угроз проводится для оценки 
рисков, которые могут возникнуть в организации. Выявленные угрозы долж-
ны быть проанализированы с целью определения их влияния на организацию. 
Угрозы классифицируются аналогично уязвимостям, но измеряются с точки 
зрения мотивации и возможностей. Например, у инсайдера может быть низ-
кая мотивация для осуществления злонамеренной атаки на организацию, но 
множество возможностей, благодаря тому что он знает, как работает органи-
зация изнутри. Поэтому система оценок может несколько отличаться от той, 
что используется при анализе уязвимостей. В конце определяется количество 
выявленных угроз, а также проводится их классификация.

Download 18,66 Mb.

Do'stlaringiz bilan baham: