web-dev-qa-db-ja.com

エンタープライズレベルのセキュリティテスト方法

会社のリスク評価を依頼されました。対象範囲は、約100のアプリケーションとさまざまなビジネスユニットです。主なタスクは、現在実装されているセキュリティコントロールを評価し、評価後に推奨事項を提供することです。また、ソースコードやその他の機密情報のデータ漏洩防止に関する推奨事項も提供します。

私は、NIST CSFなどのフレームワークを使用した組織レベルのセキュリティリスク評価としてアプローチしていますが、私の同僚は、SDLC /アジャイル/開発プロセスリスク評価のリスク評価を実施することについてさらに考えていますが、私の意見では、セキュリティリスク評価ではありませんが、プロジェクトレベルでのプロセスリスク評価。セキュリティに関する開発方法論のセキュリティリスク評価はまだ見ていません。

このリスク評価に取り組むための正しい方法は何ですか?

6
ray bash

OpenSAMMまたはBSIMMフレームワークを使用して、セキュリティの観点から開発プロセスのベンチマークを行うことができます。その後、未実装/不完全なセキュリティプラクティスのリスクを計算して、CSFベースのメインのリスク評価に含めることができます。

1
odo

この質問は少し混乱します。アプリケーションのセキュリティのみを確認していますか?それとも、それらが含まれている環境ですか?の質問に答える

企業レベルでリスク評価を行うにはどうすればよいですか?

多層防御は、全体論的アプローチで対処する必要があるセキュリティの複数の層があることを理解しています。この写真を見る

https://blog.knowbe4.com/hubfs/Defense_in_Depth.jpg

およびwiki: https://en.wikipedia.org/wiki/Defense_in_depth_(computing)

これには複数の方法がありますが、最初にスコープを定義する必要があります。ネットワークセキュリティは含まれていますか? 「エンドポイント」は含まれていますか?フィッシングはあなたの範囲に入りますか?それは単なるアプリケーションセキュリティですか?物理的なセキュリティはどうですか?データ損失防止とは、データベースからの情報漏えいや、企業のラップトップが会社のファイルを送信することを制限していることを指しますか?明確な計画を立てる前に、範囲を明確にする必要があります。あなたがそれをした後:

https://en.wikipedia.org/wiki/Cyber​​_security_standards#ANSI/ISA_62443_(Formerly_ISA-99)

標準の62443ファミリは、SDLCを含め、上記で述べたほとんどの範囲をカバーしています。これは「かさばって」おり、多くの証明書で特定のテストを義務付けていませんが、堅牢であり、テストを開始するための優れた「エンベロープ」を提供します。

OWASPには、安全なコードと安全なコーディング手法を開発するためのフレームワークがあり、評価テンプレートがあります。

https://www.owasp.org/index.php/OWASP_Security_Knowledge_Framework

https://www.owasp.org/index.php/OWASP_ASVS_Assessment_tool

より古典的なアプローチでは、Microsoftのベースラインフレームワークを使用します。

https://en.wikipedia.org/wiki/Microsoft_Baseline_Security_Analyzer

これは、Windowsベースの環境のほとんどのレベルのセキュリティをカバーします。

US-Certにはフレームワークがあります。

https://www.us-cert.gov/sites/default/files/c3vp/framework_guidance/commercial-facilities-framework-implementation-guide-2015-508.pdf

https://www.us-cert.gov/sites/default/files/resources/ncats/VADR%20Sample%20Report_508C.pdf

https://www.us-cert.gov/resources/ncats

そして、SANSにはBASEがあります。

https://www.sans.org/reading-room/whitepapers/auditing/base-security-assessment-methodology-1587

コンプライアンスについても忘れないでください。 Hippa、PCI、SOXなど、インターネット検索で簡単に見つけることができる利用可能なすべての情報。

0
bashCypher

このアクティビティに最適な推奨プラットフォームは Atomic Red Team で、これは目標を共有します。ただし、その層の下には知っておくべきことがたくさんあります。これらのほとんどは、DevOpsのハンズオンセキュリティの本で十分にカバーされています。技術レイヤーをはるかに超えて存在する人事や管理フォレンジックもたくさんあります。

SimpleRisk の観点から、サイバーリスクについて知っておくべきことがさらにあります。ビジネスオーナーと話したい場合は、効率層で(ROIと生産性の観点から)修正すべきことがたくさんあることを知ってください。ただし、サイバーリスクは最終的には不確実性のレンズを通して損失を防ぐことです。

この本、サイバーセキュリティプログラムとポリシーの開発、第3版は、企業が15%のサイバーセキュリティ予算の中で3%の資本回収率しか許容できないと述べている場合に、これを最もよくカバーします。コントロールがどのように測定されるかを示したい場合は、「サイバーセキュリティリスクのあらゆるものを測定する方法」という本を必ずチェックしてください。

0
atdre