渗透服务只是风险评估的一种内容
风险评估的概念
是识别,控制,降低,或者消除可能影响到信息系统的安全风险过程。
风险评估的定义:
就是量化测评一种事情带来的影响,整个量化的过程是偏主观化(客户觉得)
风险的特性:
偶然性 相对性 社会性 客观性 不确定性 可识别性 可控性
可控性:可接受风险和不可接受风险
可接受风险:一般老机房有些系统漏洞什么的,说明风险造成的后果在可承受范围内,但是可不可以承受是由客户来解决的。所以我们要告诉他们风险有多大,具体决定是看他自己接受不接受。
不可接受风险“”
一般风险定级
1-2 低位
2-4 中危
5 高危
最终决定其实还是客户说的算
项目交互好要怎么做?
1 技术角度
2 销售角度
3 甲方角度(识别关闭干系人)
渗透测试前后对比
以前:挖漏洞就行
现在 : 前期沟通,交付,加固。复测,汇报
风险评估成果:
生成风险评估的报告,一定要在乎客户的需求,去迎合客户为主,才会受到夸奖
风险处理方法:
被动:身体生病》去看医生
系统中毒 》应急杀毒
主动:体检》预防生病
风险评估 > 风险控制
服务方法:
尽量去引导甲方的需求
在写日报的时候,都应该做一个主动的思考。就是尽量采用主动处理的方法,比如风险评估。
我的思考:
风险评估处理方法主要就是建立在甲方(客户)的需求下,再去主动的引导客户。比如惠普的客服。
未发生的风险?》客户看不到价值
值守十天,没有任何风险产生,你有价值吗?
比如今天没受到任何攻击,日志总不能写没事发生,那要怎么写。(一定要注意写过程)
1 处理??2w条日志,通过排查,其中两千条存在威胁,但排查发现为误报。
2 沉浸处理af sip 100条ip 通过分析其中80条来自国外,怀疑黑客 20条怀疑为红队攻击,已封禁
成果具体表现:分析数据+结果
信息安全风险评估
自评估:自家部门
优点:不会带来新的风险 缺点:专业性和客观性差
检查评估: 上级部门或有关组织部门检查评估
优点:公正专业 缺点:需要组建一队专门的评估小组
风险评估操纵方法
定性评估:凭经验或者直接,或者业界的标准,具有很强主观性。
定量评估: 分析各种组成部分,分析数字值,具有很强客观性
定性和定量相结合:(实际项目中经常采用)
基础术语和逻辑关系:
基础术语
业务战略:即一个组织通过信息系统完成的任务,如果对他的依赖越高,要求其风险最小。
资产:最组织有价值的信息或资源:比如计算机
资产:资产都是有价值的,当组织对资产的依赖性越高,那么资产价值越大
威胁:一个单位的信息资产安全容易被侵害。比如拔电等
脆弱性:信息资产在安全方面的不足,脆弱性通常也被称作漏洞
残余风险:采取安全措施后,提高保证能力后,仍可能存在或者未识别的风险,均属于残余风险
安全需求:为保证单位使命正常行驶,对信息安全保障的措施提出要求
安全措施:减少危险等的措施
逻辑关系
风险构成
技术评估:
风险评估内容
资产梳理:
1资产梳理
客户资产特别多,怎么进行梳理?
不知道的资产叫做隐资资产,这些就可以用信息收集,真是在项目中其实就是去扫,
2识别评估范围
与客户对齐,一定要得到客户认可。最好一日一汇报,但是一般关键节点汇报就行。
3业务系统梳理
客户自己甄选,我们再评估重要性,再继续与客户对。
4安全措施梳理
购买了哪些安全产品,有哪些安全措施
威胁识别和脆弱性识别
额外提一下安全工程师并不是只会渗透就行了,还要掌握售前的能力,也就是商机发现能力(带货能力)
风险评估准备哪些?
准备阶段工作内容:
为什么要安全工程师来参与,是因为销售和售前指定的评估目标看看能不能实现。
开完内部启动会之后,开外部启动会
准备工作产出示例:
实现流程及方式
资产识别:软硬件资产,网络设备,安全设备
成果:
资产识别会议纪要非常重要,要由销售或者其他发给客户,客户进行反馈才有意义
威胁识别:
环境因素,人为因素
然后根据威胁产出表
风险识别工作内容:
风险值计算
风险处置方式:
1风险转移:转移给另外一个单位。
2风险规避:
3风险降低
4风险接受:耗费成本远远超过了本身价值
风险识别工作产出:
风险评估报告:
记住报告要有落地性,大白话。