Jakie są największe obszary ryzyka bezpieczeństwa IT
-
- Computerworld,
- 09.11.2011, godz. 10:21
Bezpieczeństwo aplikacji webowych
Brak zabezpieczeń aplikacji webowych:
- Brak regularnych testów bezpieczeństwa (penetracyjnych).
- Problemy architekturalne (uwierzytelnienie, walidacja danych, wielowarstwowość, SQL Injection, zarządzanie sesją).
- Dane przesyłane bez ochrony (brak SSL/TLS).
- Aplikacje nie są chronione przez reverse proxy czy firewall aplikacyjny.
Zarządzanie aktualizacjami
Nieefektywne zarządzanie aktualizacjami:
- Brak lub nieregularne wprowadzanie aktualizacji.
- Ograniczenie tylko do produktów Microsoft (w szczególności na stacjach roboczych).
- Brak aktualizacji wszystkich komponentów serwerów (system operacyjny, system bazy danych, etc.).
- Brak aktualizacji firmware urządzeń sieciowych.
- Aktualizacje nie są testowane.
Zarządzanie podatnościami
Brak proaktywanego zarządzania podatnościami:
- Brak procesu, sporadyczne skanowanie.
- Skanowanie wyłącznie zewnętrznych systemów.
- Brak raportowania, procesu naprawczego.
Polityka bezpieczeństwa i procedury
Problemy związane z Polityką bezpieczeństwa i procedurami:
- Brak lub nieaktualne polityki/procedury.
- Zbyt wiele procedur, zbyt skomplikowane niezrozumiałe dla użytkowników.
- Nieadekwatne do wykorzystywanej technologii.
- Brak utrzymania polityk i procedur.
- Polityki i procedury nie są przestrzegane.
Bezpieczna konfiguracja systemów/hardening
Brak “hardeningu" systemów:
- Domyślna instalacja (ustawienia, usługi, hasła).
- Brak standardów bezpiecznej konfiguracji (tzw. build).
- Niebezpieczne protokoły, usługi, nadmiarowe uprawnienia.
Zarządzanie oprogramowaniem
Problemy związane z zarządzaniem oprogramowaniem i licencjami:
- Nielicencjonowane oprogramowanie/ oprogramowanie instalowane samodzielnie na stacjach roboczych.
- Brak standardów oprogramowania.
- Brak procesu zarządzania licencjami.
Świadomość użytkowników
Brak świadomości użytkowników w zakresie bezpieczeństwa informacji.
Bezpieczeństwo informacji w projektach
Wymogi bezpieczeństwa informacji nie są uwzględnione w projektach:
- Brak zaangażowania komórek związanych z bezpieczeństwem w projekty.
- Brak akceptacji ze strony bezpieczeństwa przed wdrożeniem projektu.
- Architektura niezgodna ze standardem.
Ochrona danych poufnych
Niewystarczająca ochrona poufnych danych:
- Poufne dane wymieniane z partnerami poprzez Internet ze stronami trzecimi (e-mail, kurierzy, FTP).
- Dostęp do danych (pliki, foldery, portale) nie jest kontrolowany (nadmiarowe uprawnienia, brak przeglądu).
Zobacz również:
- Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google
- 5 praktycznych powodów, dla których warto wdrożyć Zero Trust
- Brak polityki klasyfikacji danych, lub klasyfikacja nie jest wdrożona.
- Brak wdrożonej polityki i procesu zarządzania nośnikami wymiennymi (USB, etc.).
- Ryzyka związane z wyciekiem informacji nie są zaadresowane.
Podatności w aplikacjach biznesowych i architekturze
Podatności w aplikacjach biznesowych (architektura, implementacja):
- Brak dokumentacji.
- Brak uwierzytelnienia, szyfrowania, walidacji w interfejsach pomiędzy aplikacjami.
- Interfejsy bazujące na wymianie plików płaskich bez mechanizmów walidacji danych, kontroli dostępu do plików.
- Problemy architektoniczne (ex. zapytania SQL z serwera bazy danych, przestarzale technologie).
- Problemy związane z walidacja danych wejściowych/wyjściowych.
- Brak nadzoru przetwarzania wsadowego.
