网络安全评估:示例、清单和工具

网络安全评估
加拿大注册会计师

由于网络威胁形势不断变化,常规网络安全评估是全面风险管理计划的重要组成部分。 在任何时候,您的公司都必须监控其整个生态系统的网络卫生状况,包括第三方和第四方供应商。 网络安全风险评估通过识别影响您安全状况的网络风险来帮助您做到这一点,使您能够就如何分配资金以实施安全控制和保护网络做出更明智的决策。 让我们看看一些最常见的网络安全风险评估,以及贵公司可以采取哪些工具来进行有效评估:

什么是网络安全评估?

网络安全评估是确定组织网络安全状况的当前状态并建议改进步骤的过程。 虽然有许多不同类型的评估,但本文重点关注 NIST SP 800-115:为联邦信息系统 (ICS) 实施安全控制 – 安全评估方法第 2 版 (SAM2)。 这里的目标是提供一些关于 SAM2 如何工作的背景信息,以便您可以决定它是否适合您的特定情况。

网络安全评估工具

网络安全评估工具评估贵公司的网络安全状况。 该评估包含一系列问题,可帮助确定您的组织当前的网络安全状况、识别潜在的风险和机会,并提供评估您现有控制措施的机会。

评估旨在由之前未评估过您的组织的外部评估员完成。 将根据评估结果生成评估报告,其中可能包括改善网络安全态势的建议。

您如何进行网络安全评估?

进行网络安全评估的第一步是了解项目的范围。 网络安全评估可以定义为考虑信息安全所有方面的分析,包括网络和系统安全、应用程序开发和实施、用户授权模型(例如,单点登录)以及数据分类管理政策和程序。

您的评估范围应包括以下内容:

  • 威胁或漏洞发生时的业务影响;
  • 上述每个领域的当前风险水平; 
  • 每个区域抵御已知威胁的能力如何? 如果不是,请根据当前行业标准/最佳实践确定可能需要实施的控制措施;
  • 还有哪些地方需要注意? 例如:我们是否有足够的网络流量监控能力? 是否有足够的可见性来了解客户在日常活动中在线做什么,而无需在他们每次登录时都经过我们?

网络安全评估清单

您可以使用标准安全评估清单来确保您的网络安全评估覆盖了所有基础。 这在处理大型项目和团队时尤为重要,因为它减少了每个人完成其流程部分所需的时间。

以下是您可以根据需要自定义和使用的示例清单:

  • NIST 800-53(计算机安全框架)——该文档定义了整个组织生命周期中信息安全管理的最低要求。 它描述了五个关注领域:风险评估、渗透测试、事件响应计划的制定和实施、设施安全管理计划的制定和实施、政策指导文件的创建/更新能力

网络安全评估包括什么?

安全评估是一个使用工具和技术来收集有关您的网络环境的信息的过程。 良好的安全评估旨在确保您组织的数据、系统和应用程序尽可能安全。

良好的安全评估包括:

  • 评估的范围、时间表和成本;
  • 将执行它的团队;
  • 用于执行它的方法(例如,渗透测试或漏洞扫描);
  • 收集阶段使用的工具/技术——例如端口扫描或模糊测试软件;
  • 收到此活动结果的人——即,一台一台地检查他们机器的最终用户(无需手动记录),通过电子邮件附件直接从我们那里接收报告的合作伙伴/供应商。

网络安全评估服务

安全评估是系统地收集数据,以确定风险级别并识别组织信息安全中的弱点。 安全评估的目标是确定组织当前流程和策略中的漏洞,以及评估黑客可能利用的漏洞。

可以使用 Nessus 或 Qualys 的漏洞管理套件 (VMS) 等开源软件进行安全评估,这些软件可以立即为您提供网络配置的快照,也可以外包(例如通过网络安全评估)。 这个过程有很多好处:它更便宜; 它提供实时反馈; 没有供应商锁定问题,因为您可以一次访问所有工具,如果您在评估阶段遇到任何特定工具的问题,那么可能会有另一个免费提供!

网络安全评估报告示例

网络安全评估报告是一份描述贵组织当前安全状况及其差距的文件。 它还提供了改进组织网络安全的建议,包括实施最佳实践和技术。

网络安全评估报告应当包括以下内容:

  • 报告的目的(例如,“提供有关我们当前保护级别的信息”)
  • 将包含何种信息的描述(例如,“将涵盖以下主题:”)
  • 本文档中使用的参考文献列表,包括在创建过程中参考的任何外部资源(例如,“John Doe 博士撰写了这篇论文。”)

网络安全评估需要多长时间?

这取决于您的业务规模、您想进行的评估类型以及您有多少时间可用。 每个部分完成的速度也会影响您从第三方获得结果的速度,因此如果他们响应缓慢或根本不提供任何结果,则可能会延迟其他项目进行数天或数周(取决于涉及的资源数量)。 如果发生这种情况,那么有时,最好再尝试与另一家供应商合作,直到出现满足您需求的供应商!

什么是 NIST 安全评估?

NIST 是美国国家标准与技术研究院 (NIST)。 它是美国商务部内的一个非监管机构,这意味着它不制定法律或执行政府法规。 相反,NIST 创建并发布了建筑、电子和软件标准——包括信息安全标准!

“评估”一词是指组织根据一个或多个特定标准或目标评估其当前状态的评估过程; 然后根据这些发现采取行动。 安全评估可以帮助组织通过查看过去的违规行为或网络罪犯造成的当前威胁来了解他们的漏洞; 确定他们是否有足够的可用资源来防止未来的攻击; 确定可以进行改进的领域,以便黑客再次失败 - 以及更多!

安全评估计划的三个阶段是什么?

安全评估是一个过程,涉及收集有关您的网络和客户的信息、定义评估目标、设计从不同来源收集数据的方法以及分析结果。

任何安全评估的第一阶段都是规划。 在此阶段,您将决定收集哪些信息来评估您组织的网络安全状况。 您可能还想考虑谁将参与执行此任务以及每个人(及其团队)完成它需要多长时间。

一旦您的计划已经创建,就该执行了! 在此阶段,所有在计划期间分配的任务将根据他们的专业知识水平开始独立或一起处理。

我如何开始网络安全评估?

设定目标的第一步是定义问题。 如果您以前从未这样做过,这可能会很困难,但是您必须首先清楚地了解您的组织正在努力实现的目标以及其当前状态。

一旦你定义了问题,就该设定可衡量的结果来帮助你的员工了解他们是如何朝着这些目标前进的。 如果可能,尽量不要依赖他人对他们做得如何的看法——作为个人或团队成员,您应该始终承认错误和失败(并且不要忘记您自己!)。 雄心勃勃但务实将在这里取得成功; 想想这样的事情:“我希望我的团队成员的健康水平在接下来的六个月内提高 20%”。

免费的网络安全评估工具

如果您正在寻找快速的网络安全评估概述,免费工具可能会有所帮助。 它们将向您显示有关您网络的基本信息,并提供事物所在位置的快照。 但是,这些工具不如付费工具详细或可靠,因此它们不会为您提供有关环境安全性的所有详细信息。

付费网络安全评估工具物有所值,因为它们比免费工具更详细。 在评估公司基础架构不同部分(例如桌面与移动设备)的风险级别时,它们也更加准确。

以下是您必须检查的免费网络安全评估工具的首选。

#1。 卡利Linux

Kali Linux 是一种流行的渗透测试操作系统,也称为道德黑客。 它基于 Debian Linux,预装了 600 多种安全工具。 这使其成为测试网络或 Web 应用程序安全性的理想选择。

Kali 可以通过对其进行各种攻击(例如端口扫描)来测试网络或 Web 应用程序的安全性。

#2。 去网络钓鱼

Go phish 是一个用于渗透测试人员和安全意识培训的网络钓鱼工具包。 它提供了创建可用于评估或课堂环境的真实网络钓鱼电子邮件、网页和 SMS 消息的能力。

该工具由 Adrienne Porter Felt 创建,她还创建了流行的渗透测试框架 Metasploit Framework (MSF)。 这个项目旨在让没有丰富编程经验的人更容易地在 MSF 的 API 之上构建他们的工具,而不必先了解这些 API 是如何工作的——而这正是他们所做的!

#3。 卫冕

Defending 是一种基于 Web 的安全扫描程序,它使用 OWASP Top 10 来帮助您查找和修复 Web 应用程序中的漏洞。 它可用于渗透和 Web 应用程序安全测试。 不过,它是用 Python 编写的并且是开源的,所以如果您有兴趣了解更多关于它的功能,请查看他们在 GitHub 上的分站!

#4。 空气裂解

Aircrack-ng 是一套可用于审计无线网络的工具。 它用于审核 WiFi 安全并恢复网络密钥和密码。

该工具最初由 Simon Paška 开发,他发现 WPA/WPA2 加密很容易受到使用称为“Aircrack”的自动脚本的拒绝服务攻击 (DoS)。 Aircrack 的第一个版本于 2002 年由 Wichert Akkerman 和 Michal Zalewski 发布。 [4] 2004 年,Mikko Hyppönen 创建了一个名为 Airmon 的新版本,它支持 mon0 而不是 mon0/1。 [5] 到 2007 年,aircrack-ng 已集成到 Kismet 的 Linux Shodan 插件(最初于 2006 年发布)中。

#5。 打嗝套房

Burp Suite 是一个用于执行 Web 应用程序安全测试的集成平台。 它包含一组支持整个测试过程的工具,从拦截和监控流量到报告生成。

Burp Suite 可以拦截、操作和记录 HTTP 以及请求和响应,以确保网站或应用程序的安全。 它包括以下功能:

  • 代理人 - 在没有特殊权限的情况下将任意有效负载注入实时网络连接; 也有助于测试第三方,如 Twitter 或 LinkedIn(通常需要特殊权限)。
  • 中继器 – 允许您轻松地使用不同的输入多次重复请求; 在尝试参数/标头等的不同组合时很有用,例如,通过多次重复一个请求来更改两个不同 URL 之间的 GET 参数!

总结

总之,应该指出的是,网络安全评估是一个帮助企业评估其对黑客攻击和盗窃的脆弱性的过程。 评估包括对您的网络基础设施进行清点,评估每个系统所涉及的风险,测试这些系统和开发中的漏洞,制定行动计划以在问题变得更严重之前解决任何问题。 此外,必须进行持续培训,以便员工了解如何最好地保护自己免受可能试图从您公司系统中窃取机密信息的黑客攻击。

网络安全评估常见问题解答

什么是网络安全评估?

一个独立的桌面应用程序,可指导资产所有者和运营商完成评估运营技术和信息技术的系统过程。

什么是安全风险评估清单?

提供影响组织资产完整性、机密性和可用性的威胁列表。

如何通过 5 个步骤执行网络安全风险评估?

  • 第一步:确定风险评估的范围
  • 第二步:如何识别网络安全风险
  • 第 3 步:分析风险并确定潜在影响
  • 第 4 步:确定风险并确定风险的优先级
  • 第 5 步:记录所有风险

参考资料

发表评论

您的电邮地址不会被公开。 必填带 *

你也许也喜欢