iT邦幫忙

2024 iThome 鐵人賽

DAY 22
0
Security

繁體中文的第一本CC書─Certified in Cybersecurity系列 第 22

Day22:風險識別、評估和處理(續4)

  • 分享至 

  • xImage
  •  

H1Day22:風險識別、評估和處理(續4)

一般而言,在確定組織的資訊資產所面臨的風險和風險容忍度後,會有四種風險處理 (Risk Treatment)方案:

  1. 接受風險(Accept):不採取任何行動來降低風險發生的可能性。例如一家巴西非營利組織的網站,還在使用不安全http(80 Port),而該公司決定不使用https(Port 443),冒著讓網站使用者採取明文方式傳輸資料而不採取行動。
  2. 規避風險(Avoid):規避風險是指嘗試完全消除風險的決定。例如公司的自建網站會有被駭客入侵的風險,而公司選擇用Google Blogger或Wix等大型部落格廠商的解決方案來製作公司網站,全然不使用自有伺服器,就是一種規避風險的情形。
  3. 降低(緩解)風險(Reduce):風險緩解是最常見的風險管理類型,包括採取措施預防或降低風險事件發生的可能性或其影響。比方最近php套件被發現有漏洞,但是使用Xampp等開源套件的使用者,Xampp官方還沒有發布新版的修正漏洞後軟體供安裝,於是資安人員報請主管同意,先記錄下此高風險漏洞,並且先調整嚴格的防火牆政策或修改設定檔。

受影響的情境也包含所有版本的 XAMPP for Windows 安裝的預設設定。XAMPP作為便於開發者整合、使用的軟體安裝包,是在 Windows 作業系統上使用 PHP 的主要解決方案之一,由於 XAMPP 尚未針對此漏洞釋出相對應的更新安裝檔,使用者如確認自身未使用 PHP CGI 功能,仍可修改 Apache Httpd 設定檔,以避免暴露在弱點中。


上一篇
Day21:風險識別、評估和處理(續3)
下一篇
Day23:風險識別、評估和處理(續5)
系列文
繁體中文的第一本CC書─Certified in Cybersecurity30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言