agents de la technologie de l'information procéder à des évaluations de la vulnérabilité de sécurité pour trouver des trous ou des vulnérabilités spécifiques dans les systèmes informatiques et réseau . Audits de pénétration sont spécialement formatés évaluations de la vulnérabilité visant à simuler une attaque à l'extérieur , tandis que les tests « boîte blanche » suppose la connaissance des systèmes et des logiciels pour trouver plus de vulnérabilités internes. Vulnérabilité découverte est une étape critique dans la sécurité globale du système car il fournit des conseils et l'orientation spécifique pour le personnel de sécurité . Histoire
bricolage simple par des chercheurs curieux dans les années 1970 a marqué le début informelle des évaluations de la vulnérabilité de sécurité. Depuis lors , des équipes spécialisées d'agents de la sécurité de l'information , tels que la charrette du FBI (Analyse de l'ordinateur et l'équipe d'intervention ) , ont travaillé à la recherche et corriger les failles de sécurité dans les systèmes informatiques modernes. Presque toutes les entreprises de développement de logiciels majeur et emploie le personnel de sécurité qui font régulièrement des produits vétérinaires pour les bugs et les erreurs de conception . Évaluations de la vulnérabilité de sécurité découvrent et pour fixer autant d' imperfections que possible avant que les pirates peuvent utiliser à des fins malveillantes.
Importance
la première et plus importante étape de la réponse de sécurité cycle de vie, l'évaluation de la vulnérabilité ou de test de pénétration donne le personnel de sécurité des tâches spécifiques pour protéger l' organisme contre les attaques. Une évaluation de la vulnérabilité qui ne parvient pas à découvrir des failles est une invitation à une attaque réussie . Évaluations de la vulnérabilité succès ouvrent la voie à une réduction drastique du potentiel d'attaque .
Types
entreprises emploient souvent en dehors de l'essai aux entreprises de simuler une attaque de l'extérieur, appelé test «boîte noire ». Des tests boîte noire existe des moyens rapides et efficaces pour trouver des vulnérabilités communes dans les systèmes de réseau , en particulier pour les sites et bases de données. Sociétés de développement de logiciels optent pour des tests plus approfondis et de temps " boîte blanche " , ce qui implique une inspection minutieuse du système - à la fois matériel et logiciel. Dans l'industrie de défense , la division assurance de l'information de la National Security Agency réalise deux tests boîte noire et boîte blanche pour les entrepreneurs de grande envergure.
Idées fausses
L'objectif de évaluations de la vulnérabilité est de trouver autant de failles de sécurité que possible , ce qui réduit la possibilité d'une attaque réussie . Toutefois, il est impossible de trouver chaque vulnérabilité unique dans un système comme quelque chose d'aussi anodin comme une variable de type incorrect ou un port ouvert pourrait être exploitée par un attaquant intelligent . Audits de vulnérabilité de sécurité ne sont pas la toute fin d'un programme de sécurité , mais plutôt un point de départ pour des contrôles de sécurité . Comme les systèmes évoluent et exigences de sécurité se développent, les évaluations de vulnérabilité demeurent importantes, mais pas infaillibles parties d'un programme de sécurité bien équilibrée .
Délai Les
administrateurs des technologies de l' information effectue régulièrement tests de pénétration et des évaluations de la vulnérabilité de rester en tête de vulnérabilités nouvellement découvertes. Évaluations de la vulnérabilité doivent être effectuées avant l'intégration et la mise à niveau de tout système informatique majeur , puis à intervalles réguliers - au moins annuellement. Dans le cadre d'une culture continue de la sécurité , les administrateurs système doivent être attentifs aux résultats de chaque évaluation de la vulnérabilité . Depuis évaluations de la vulnérabilité rapide Découvrez majeurs ou déjà publié vulnérabilités , chaque fois qu'un avis de sécurité ou d'un patch sort , le personnel de technologie de l'information devraient procéder à une nouvelle vérification.