企業(yè)必備的Top10安全列表

申請免費試用、咨詢電話：400-8352-114

請你按照優(yōu)先級為企業(yè)建立一份安全列表，它可以把每個人都集中在解決重要的問題上。從SANS Institute開始發(fā)布Top 10漏洞列表起，我就一直是它的忠實擁護者，并且隨著它演變?yōu)門op 20漏洞列表。SANS還發(fā)布著許多其他有用的清單，比如Top 20編程錯誤和Top 20最關(guān)鍵的安全控件，另外OWASP的Top 10網(wǎng)絡(luò)應(yīng)用安全漏洞也同樣非常有用。從這些列表中可以得出一個事實，即大多數(shù)列表中的項目在過去的十多年中并沒有怎么改變過，這很能說明問題。這些類型的列表對企業(yè)的意義重大，能夠幫助他們搞清楚最大的問題是什么，盡快達成共識，并且使他們能夠集中力量處理重大的問題。51CTO編者按：記得最早在一個網(wǎng)絡(luò)公司里上班的時候，領(lǐng)導是要求我們把每個月最重要的10件事情寫出來貼墻上，這樣可以讓自己隨時看到?，F(xiàn)在想起來，這個和安全漏洞Top 10還真是很像。把威脅列出來，以后就能有個心理準備，也可以防患于未然。

現(xiàn)在我有個問題問你，你的企業(yè)是否也有一個Top 10計算機安全問題列表呢？如果你有的話，這個列表是否是眾所周知的，是否所有的IT管理成員、計算機安全工作人員、程序員和底層架構(gòu)的支持員工都能夠知道？如果你還沒有我所說的列表——或者沒有其他人知道它——那么你拿什么來確保IT部門的工作重點，怎樣確保正確的資源放在了正確的問題上？

我經(jīng)常碰到企業(yè)不能充分處理高風險問題的案例，一般情況是，他們把太多的精力用于解決中低檔的次要問題，把自己搞得焦頭爛額。例如，一個企業(yè)的最大問題可能是最終用戶被安裝了特洛伊木馬，但同時它卻把大把的資金和人力投入到阻止遠程緩沖區(qū)溢出，或者努力實現(xiàn)百分百遵守補丁這些地方上，而這些吃力不討好的解決方案只能解決這家企業(yè)整體計算機安全問題中的很小一部分。

請為你的企業(yè)建立起Top 10計算機安全列表，先從識別威脅開始，把它們按照嚴重性排列，使用你可以用到的最好的指標，然后讓開發(fā)團隊和管理層審批，最后確定列表。這能迫使每個人都參與進來，并把目光放在最重要的問題上。

一旦你建立起Top 10列表，要確保把它通知到每個人，使用最普通的計算機安全方法（如電子郵件、海報、newsletter等等），以確保所有相關(guān)的團隊都可以用他們自己的獨特方式來盡力解決你的十大安全問題。

舉例來說，假設(shè)JavaScript漏洞是企業(yè)目前最大的問題，那么工作站配置團隊可以集中精力鎖定瀏覽器防止惡意的JavaScript程序；編程/開發(fā)團隊可以編寫自己的代碼盡力阻止XSS（跨站點腳本）攻擊；負責購置新軟件的團隊也可以在尋找基于JavaScript的應(yīng)用時和潛在的供應(yīng)商就JavaScript攻擊問題進行溝通。如果你不把大家集中到重要問題上，他們?nèi)匀豢赡茉诟髯缘姆秶詰儆诮鉀Q自己的問題。Top 10列表能夠幫助每個人在管好自己的樹苗的同時，看到一大片健康成長的森林。

跟蹤進展也是成功的關(guān)鍵。應(yīng)該有人來負責對列表中的每個項目進行指標測量，并每年向上一級審查團隊提供進度報告。這時，審查團隊應(yīng)審查安全列表，確定是否有些問題可以去掉，或者是否有新的安全問題應(yīng)該補充進來。如果某一特定項目的指標變得糟糕，審查團隊將需要制定新的攻擊計劃，建立更有效的戰(zhàn)略來對付這一問題。

一旦建立后，你的Top 10計算機安全列表就絕不應(yīng)該消失，列表中的項目可能會演化或變?yōu)槠渌鼮榫o迫的問題。然而，這種想法提供給企業(yè)一種應(yīng)對風險的良好方式，把重點放在最重要的地方，在沙灘上劃出一條警戒線，每年進行衡量。