一般的/一般的なIT脆弱性のガイドはありますか?
一般的/一般的なITの脆弱性(一般情報)の更新された包括的なガイドを探しています。
私はあなたに私のために仕事をしてほしくありません、私は正しい方向に私を向けたいだけです:本またはウェブサイトの推薦は素晴らしいでしょう。
Googleの検索エンジンから入手できる情報は豊富にありますが、どの情報が価値があるのかわかりません。
以下からセキュリティベンチマーク/チェックリストリソースを確認してください。
http://cisecurity.org/
Center for Internet Security(CIS)は非営利企業であり、そのベンチマークおよびメトリックス部門は、不十分な技術的セキュリティ管理から生じるビジネスおよびeコマースの混乱のリスクを軽減するのに役立ちます。この部門は、企業にセキュリティ構成のコンセンサスベストプラクティス標準を提供するとともに、情報セキュリティステータスを測定し、セキュリティ投資に関する合理的な意思決定を行うためのリソースを提供します。http://iase.disa.mil/stigs/checklist/
国防情報システム局(DISA)http://web.nvd.nist.gov/view/ncp/repository
http://csrc.nist.gov/fdcc/faq-common_security_configurations.html NISTによって定義された国家チェックリストプログラム(NCP)SP = 800-70 Rev. 1は、オペレーティングシステムとアプリケーションのセキュリティ構成の設定に関する詳細な低レベルのガイダンスを提供する、公的に利用可能なセキュリティチェックリスト(またはベンチマーク)の米国政府リポジトリです。
ご使用の環境に関連するいくつかのチェックリストを実行することで、注意すべき事項をすばやく理解できます。
これは正確なガイドではありませんが、 CWE-Common Weakness Enumeration は一般的なソフトウェアの脆弱性(Webだけでなく)の優れたソースであり、最新のものであると信じています。そしてもちろん、Webアプリケーションの場合、 [〜#〜] owasp [〜#〜] サイトには、Webアプリケーションの脆弱性に関する多くの有用な情報が含まれています。
注目すべき主な4つ(興味のあるタイプに応じて)、これらのいくつかは言及されています。
チェックアウト [〜#〜] owasp [〜#〜] 。これは、Webアプリケーションのセキュリティを対象としているため、一般的なリソースではありませんが、WebアプリやWebサイトを作成するすべての人にとって貴重なリソースです。具体的には、それらの Top 1 リストが役立つ場合があります。
私の意見では、特定のソフトウェアの脆弱性を知ることは、完全な ITリスク評価 を実行するほど組織のセキュリティを改善するのに役立ちません。リスク評価の後、ITインフラストラクチャの主な問題がソフトウェアの脆弱性、物理的なセキュリティ、人、手順、またはその他の要素である場合、より客観的な方法で評価できます。
リスク評価を実行するための複数の方法論とフレームワークが存在します Magerit 、 [〜#〜] octave [〜#〜] 、 Mehari など。
ここ、スペインでは、行政機関が組織のリスクを特定して削減できるようにするためにそれを使用する必要があると想定されているため、マゲリットは非常に使用されています。 Mageritには、質問で「一般的/一般的なIT脆弱性の総合ガイド」として使用できる脅威のカタログが含まれています。
私はこのリンクを使用します: http://www.cvedetails.com
製品の脆弱性を検索する