Open Web Application Security Project = Open Worldwide Application Security Project® (OWASP),
OWASP security principles
1.最小化攻擊面 Minimize the attack surface area: 這指的是潛在的漏洞,攻擊者可利用這些漏洞入侵系統。常見的攻擊向量attack vectors包括釣魚郵件和弱密碼 phishing emails and weak passwords。為了減少攻擊面,安全團隊可能會禁用 disable 某些軟件功能、限制restrict對特定資產的訪問或設置establish更複雜的密碼要求。
2.最小權限原則 Principle of least privilege 意味著確保用戶擁有執行日常任務所需的最少訪問權限。
3.深度防禦原則 defense in depth 意指組織應具備多重安全控制措施,以不同方式應對風險和威脅。
- 一個安全控制的例子是多重身份驗證(MFA),它要求用戶執行額外步驟,除了僅僅輸入用戶名稱和密碼之外,才能訪問應用程式。
- 其他控制措施包括防火牆、
- 入侵檢測系統和權限設置,
這些可以用來創建多個防禦點,威脅行為者必須突破這些防禦才能入侵組織。
4. 分離職責原則 separation of duties,可以防止個人進行欺詐或非法活動。這意味著沒有人應該擁有過多的權限以致於濫用系統。例如,簽署薪水支票的人不應該同時是準備支票的人。
5. 保持安全簡單原則 Keep security simple 這意味著在實施安全控制時應避免不必要的複雜解決方案,因為它們可能變得難以管理。安全控制越複雜,人們合作的難度就越大。
6. 正確解決安全問題原則 fix security issues correctly 當安全事件發生時,安全專業人員需要迅速找出根本原因並修復漏洞,並進行測試以確保修復成功。例如,組織的wifi弱密碼可能導致安全漏洞,為了解決這個問題,可以實施更嚴格的密碼政策。
Additional OWASP security principles
Establish secure defaults
當用戶首次使用某個應用程序時,它應該已經設置為最安全的配置default,而不是需要用戶額外去調整設置以增強其安全性。
Fail securely
指的是當控制失效或停止時control fails or stops,應默認轉向最安全的選項。例如,當防火牆失效時,應該關閉所有連接並阻止所有新連接,而不是開始接受所有連接。
Don’t trust services
許多組織與第三方合作夥伴third-party partners合作,但這些合作夥伴的安全政策可能與組織不同,因此組織不應該完全信任他們的系統。同時,組織在與合作夥伴分享信息之前,應該確保資訊的準確性,例如在航空公司與第三方供應商分享顧客的獎勵積分之前。
Avoid security by obscurity
不應僅僅依賴於使資訊不明顯或隱藏的keeping details hidden手段來保護系統或資料。建立安全性時必須依賴多種控制措施,而不僅僅是保持代碼的秘密。這樣的安全策略能夠有效降低風險,提高系統的整體安全性。安全設計應該是全面的,涵蓋技術、政策、以及使用者行為的各個方面。
security audits
the primary objectives of an internal security audit:
- Help security teams identify organizational risk
- Improve security posture Correct Avoid fines due to a lack of compliance
- Avoid fines due to a lack of compliance
我們已經涵蓋了不同的框架、控制、安全原則和合規規範,那麼問題是:它們如何協同運作?
- 安全審核 security audits是對組織的安全控制、政策和程序進行審查,以符合一套期望。The answer to that question is by conducting security audits
- 內部安全審核用於幫助改善組織的安全姿態,並幫助組織避免因缺乏合規性而受到政府機構的罰款。
- 內部安全審計幫助安全團隊識別組織風險、評估控制措施assess controls並糾正合規性問題correct compliance issues。
purposes of internal audits
common elements of internal audits:
- 確定審核的範圍和目標 establishing the scope and goals of the audit,
- 對組織資產進行風險評估conducting a risk assessment of the organization's assets
- 完成控制評估 completing a controls assessment,
- 評估合規性assessing compliance, and
- 向利益相關者通報結果 communicating results to stakeholders.
1.確定審核的範圍和目標 establishing the scope and goals of the audit,
- 利益相關者通常會確定稽核的範圍和目標,
- 初級分析師可能會被要求檢視並理解範圍和目標,以便完成稽核的其他元素。
- 範疇指的是內部安全審計的具體標準,要求組織識別可能影響其安全姿態的人員、資產、政策、程序和技術
- 目標是組織安全目標的概述,以提高其安全姿態。
- 審計的範疇包括:
- 評估用戶許可權 assessing user permissions、
- 識別現有控制措施 identifying existing controls、
- 政策和程序 policies and procedures,
- 核算組織目前使用的技術 accounting for the technology currently in use by the organization.
- 所列出的目標包括:
- 實施框架的核心功能implementing core functions of frameworks,(如NIST CSF)、
- 建立確保合規的政策和程序 establishing policies and procedures to ensure compliance;
- 加強系統控制 strengthening system controls.
2.對組織資產進行風險評估conducting a risk assessment of the organization's assets
- 識別潛在的威脅、風險和漏洞。
- 風險評估通常由管理人員或其他利益相關者完成。
- 您可能會被要求分析風險評估中提供的細節,以考慮需要實施哪些類型的控制措施和合規法規,以幫助改善組織的安全姿態。
3. 完成控制評估 completing a controls assessment
Q:一名安全專業人員closely examines 仔細檢查其組織的網絡,然後評估網絡的潛在風險。他們的目標是確保內部保護措施和流程是有效的。這種情境描述了什麼安全概念?
A: controls assessment
美國國家標準與技術研究院的網絡安全框架(NIST CSF)和國際資訊安全標準(ISO 27000)系列,
這些框架有助於組織準備符合監管要求的審核。
透過遵循這些框架,組織可以節省內部和外部審核的時間。
在審核中需檢視的三個控制類別:行政和管理控制、技術控制,以及物理控制。
控制評估包括仔細審查組織現有資產,然後評估這些資產的潛在風險,以確保內部控制和流程的有效性。
4. 評估合規性assessing compliance
- 確定組織是否遵循必要的合規規範,以確保私人數據保持安全
- 例子:該組織在歐盟內經營業務並接受信用卡支付。因此,他們需要遵守一般資料保護規則(GDPR)和支付卡產業數據安全標準(PCI DSS)。
5. 向利益相關者通報結果 communicating results to stakeholders.
- 一般而言,這類溝通會總結summary審計的範圍和目標。
- 它列出現有的風險並說明這些風險需要多快被處理。Existing risks that need to be addressed now or in the future
- 它確定了組織需要遵守的合規法規,並提供改進組織安全態勢的建議。Strategies for improving security posture
- A summary of the goals?
影響審計的因素 Factors that affect audits
決定組織實施的稽核類型的因素包括:
- 行業類型 Industry type
- 組織規模 Organization size
- 與相關政府法規的關聯 Ties to the applicable government regulations
- 企業的地理位置 A business’s geographical location
- 企業決定遵守特定的合規規範 A business decision to adhere to a specific regulatory compliance
yennefer
iThome鐵人賽
看影片追技術