3回答
我对风险评估和风险分析之间的区别感到有点困惑。许多人主张在需求阶段进行风险评估,在设计阶段进行风险分析。
你能给我解释一下他们之间的区别吗?
浏览 0提问于2015-10-24得票数 1
回答已采纳
我正在为iso 27001:2013编写一个isms实现。迄今为止,无论采用何种风险评估方法,我都使用了基于资产的方法,其中的方法侧重于资产价值评估、威胁、脆弱性和控制实施状态值,以计算与基础资产相关的风险。最近,我遇到了一个基于业务流程的风险评估。我在谷歌上搜索过,发现了很少有帮助的网站,尽管在风险评估方法或相关模板方面找不到任何具体的东西。寻求帮助,提出一个基于流程的方法,用于风险评估,否则任何样本模板将大大提前appreciated.Thanks。
浏览 0提问于2016-04-06得票数 2
2回答
我见过一些组织在网络安全方面投资不足,人手不足的情况,因此很难满足其安全计划中定义的政策要求。我认为许多公司没有对网络安全进行适当的投资,这种情况相当普遍。
我的问题与衡量不符合政策要求的风险有关。通过进行标准风险评估来衡量风险的定义是明确的:确定威胁/漏洞,并评估利用的影响和可能性。但是,如果您不知道漏洞的可能性/影响,因为您根本没有人力在所有系统中执行风险评估,那么这种情况又如何呢?
基本术语:如何评估和恰当地沟通与不遵循政策相关的风险?例如,与不对每个系统执行风险评估相关的风险?
有什么想法吗?我发现,通过命令链进行风险沟通是获取资源解决问题的最佳方法。我是不是从风险的角度来考虑这个问题
浏览 0提问于2020-06-11得票数 0
回答已采纳
3回答
企业级安全测试方法
、、、、
我被要求为一家公司做风险评估。该范围涵盖了大约100个应用程序和不同的业务单位。主要任务是评估目前实施的安全控制措施,并在评估后提出建议。还提供关于防止数据泄漏、源代码和其他敏感信息的建议。
我将其作为使用NIST CSF等框架的组织级安全风险评估,而我的同事则更多地考虑进行SDLC/敏捷/devops过程风险评估的风险评估,在我看来,这不是安全风险评估,而是项目级别的过程风险评估。我还没有看到在安全方面对开发方法进行任何安全风险评估。
我想问一下,怎样才是正确的方法来进行风险评估?
浏览 0提问于2018-12-23得票数 6
简单地说,当有人想要学习攻击性网络应用程序(或系统)黑客时,可以下载OWASP DVWA或注册到Hackthebox,并观看Ippsec视频,看看“如何走路”。这是非常具体和实际的(没有理论界)。
但风险分析(例如: ISO 27005、NIST SP 800-30、EBIOS等)怎么办?我在互联网上看到的唯一一件事就是关于这些方法为什么如此伟大等的大量理论论文。没有实际的用例显示它是如何在更具体的情况下应用的。
我知道在互联网上发布你的组织风险分析结果可能不是个好主意,但是我们(初学者)应该怎么做呢?
您知道我应该从哪里开始或研究IT安全风险分析的更实际的概述吗?
浏览 0提问于2021-05-16得票数 1
我试图弄清楚上述概念是如何结合在一起的。据我所知,安全需求工程(SRE)、风险分析(RA)和威胁建模(TM)是最终允许信息系统更接近预期安全目标的方法(CIA Triad、IAS Octave等)。
我的问题是,它们是可以彼此独立执行的不相交的概念,还是存在某种层次结构?
我是否错误地说,SRE是一个包罗万象的过程,它可以包含RA,而RA反过来又可以使用TM来确定威胁?
有没有人对SRE的基本原理和它包含的概念有很好的来源?
浏览 0提问于2015-05-16得票数 4
我刚刚意识到,在没有启用MongoChef选项的情况下,我已经使用MongoChef(一个数据库GUI)连接(发送用户名和密码)到我的生产MongoChef数据库好几周了。最近,我从另一个GUI切换到了MongoChef,完全忘记了启用SSL。
我很有信心,在我的本地网络上没有人在嗅探(所有我信任的人)。我最担心的是某个人,在我和数据库之间的ISP设备上,有人在监听和收集可能有价值的数据。
我想知道是否存在量化风险?有没有人能让我决定我是否受到了伤害。如果有任何不同,我所连接的数据中心是在该国的一个邻近地区。
谢谢
浏览 0提问于2016-10-12得票数 4
回答已采纳
2回答
计算技术脆弱性问题的业务影响
、、、、
是否有任何预定义的、全球公认的方法、框架或标准专门用于计算技术的业务影响(网络、Web、移动.)脆弱性问题?
评分和计算影响是我正在研究的关键问题。
浏览 0提问于2017-04-25得票数 1
2回答
安全从来就不是100%。有必要平衡风险和成本。需要进行风险评估,以确定预防措施的成本效益。
我想回答以下几个问题:
在进行风险评估时应遵循哪些框架?
一个组织如何有效地模拟一个威胁?
一个组织如何准确地确定特定于自己当前情况的潜在安全威胁的货币成本?
我认为这里还没有任何问题涉及到这一点。
请-没有答案只包含链接到外部资源。我想要一个或两个详细的答案,包括概述风险评估通常是如何在大型组织进行。
浏览 0提问于2012-10-08得票数 10
回答已采纳
我们在上一次复古期间引入了一种新的做法:
在每个票证中,QAs应该提供一个关于回归风险的简要评估,如果实现了这个新的特性/修复。
我的问题是:
如果不查看源代码,就很难评估回归风险;我们的sprint长达三周,即使我们可以查看源代码,也没有足够的时间这样做。在不查看源代码的情况下提供回归风险评估时,是否有任何良好的拇指规则?
浏览 0提问于2018-07-13得票数 2
回答已采纳
2回答
我正在为一家希望与ISO 27001保持一致的公司定义一种风险评估方法。该标准明确规定,其目的是保护中情局(机密性、完整性、可用性)。
在我的风险方法中,是否有将每项资产/过程的后果分别与保密性、完整性和可用性相比较的分数,还是仅给每个资产/过程一个分数就足够了。在大多数被批准的工具中,我把它当作后果的一个分数。
独立评估每个中情局的后果不是正确的方法吗?
浏览 0提问于2016-10-20得票数 1
OSSTMM中RAV的计算作为一种安全度量似乎非常有用,但是,它们是否能够成为符合新的ISO 27001:2013和ISO 31000的风险评估方法的基础?
ISO 27001:2013年风险评估要求与ISO 31000相一致,因此我认为我们可以专注于ISO 31000。
国际标准化组织31000建立了以下阶段:
风险识别
风险分析
风险评估
风险处理
我认为OSSTMM测试可以与风险识别(发现、识别和描述风险的过程)相匹配。
风险分析阶段(了解风险性质和确定风险水平的过程)和风险评估(将风险分析结果与风险标准进行比较以确定风险和/或其规模是否可接受或可容忍的过程)可以与攻击面和RAV的计算相
浏览 0提问于2014-04-28得票数 6
回答已采纳
我正在几台服务器上更新操作系统,以免它们失去支持。我想说的是,新操作系统(Windows 2008 R2 to Windows 2016)更安全,因为它包含了迄今为止所做的所有安全修补程序,而且开发人员将有机会重写代码,更多地了解威胁和漏洞。
再说一次..。新软件可能通过公开新功能来暴露新的漏洞。
一般来说,修补软件的行为是降低还是增加风险?
浏览 0提问于2017-07-02得票数 1
回答已采纳
3回答
我所在的公司正在评估不同的风险分析解决方案来购买,但其中一位安全人员引入了这个想法,真正构建我们自己的内部平台/引擎。
为了更好地理解它,我做了很多研究,但我仍然感到困惑。如何开发自己的平台,接收数据提要,关联/分析,然后生成可采取行动的警报/风险评分/报告?我真正挣扎的是,它如何知道一种风险是否比另一种风险更大?
你必须创建自己的算法吗?是否有一个组织用来构建它的框架?还是数据库做了繁重的工作?
对于所有的问题,我很抱歉,我只是在合规部门工作,从来没有机会与风险分析解决方案合作。
非常感谢!
浏览 0提问于2017-03-26得票数 4
我试图在网上创业,但不希望病毒从任何粗略的软件,我将下载。我将使用VM和VPN,但不知道我是否需要任何其他软件,使我的计算机,网络等不会受到影响。我理解没有共享文件和所有这些,但仍然不确定,因为有些人说,一些恶意软件可以通过虚拟机。
浏览 0提问于2019-11-20得票数 1
我们有一个web应用程序,它要求用户使用用户名和密码登录。我们为用户提供了密码重置功能,它或多或少成功地遵循了特洛伊亨特( Troy )在这篇文章中概述的指导方针,除了一个主要的例外,我们还有一个薄弱的链接:
我们有一个管理门户,其功能是生成一个临时密码,并在屏幕上显示给admin,但有一项理解是,这是通过电话读出的,而不是电子邮件。为了明确起见,管理员还可以代表用户请求密码重置电子邮件(并发送到用户的注册电子邮件),但这是从未使用的。
我们有很多不太懂计算机的用户,他们中的一些人很难自己创建/重置密码(尽管在用户输入新密码之前,密码要求是明确的)。为了使他们的工作更容易,我们的人已经开始使用
浏览 0提问于2018-01-05得票数 3
回答已采纳
我17岁,我的最终工作目标是一名网络安全专家。我一直在广泛研究TCP/IP,以及我希望很快获得的CompTIA Network+认证的所有其他科目。我非常熟悉诸如OpenVAS、Wireshark、nmap等工具,我目前正在学习Python,并且可以编写bash脚本。我的问题是,网络安全审计师或网络安全工程师之类的工作是什么?以及在这条职业道路上应该研究些什么。此外,欢迎您提供有关在IT领域工作的一般信息。
浏览 0提问于2014-06-04得票数 -2
回答已采纳
2回答
我真的不想谈细节。
我从一个巨大的软件供应商那里发现了一个bug。作为任何其他负责任的用户,我已经向软件提供商报告了这个错误。
很难判断这个bug是否会被认为是一种安全风险,因为它不会直接危及安全性。然而,我可以很肯定地把这看作是“深入挖掘”的一个载体。
不管我对bug的发现或解释如何,它让我思考:如何系统地确定软件错误是否应该被标记为“安全缺陷”?
浏览 0提问于2017-01-11得票数 2
回答已采纳
我正在根据信息安全风险管理指南进行风险分析,在风险评估表中有一栏名为“风险情景的初始可能性”。风险情景的可能性和风险情景的初始可能性之间有什么区别?
浏览 0提问于2022-06-20得票数 -1
回答已采纳
我们的组织最近被要求使用MFA登录我们的网络硬件。我们通过使用Royal和Royal来实现这一点,并将SSH和web的源IP限制在Royal的IP地址上。惠普让这很容易使用一些叫做"IP授权“的东西。然而,在我们的思科催化剂2960,我找不到选择这样做。
我能找到的最接近的一篇文章是:https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst_pon/软件/配置_指南/mng_usrs/b-gpon-config管理-用户/配置_ip地址_limit.html
但是,在运行thems时,几乎不存在本文中指定的命令。固件是最新的
浏览 0提问于2021-11-30得票数 0
1回答
脆弱性管理101
、、
从Nessus或Qualys看一份典型的漏洞扫描报告,大多数人都感到恐惧、迷茫,基本上问题多于答案。例如,我到底该如何处理所有这些发现?据我所知,漏洞管理过程可以分为四个步骤(不提它与补丁、更改、风险管理的密切关系):
识别漏洞
评估脆弱性
处理漏洞
报告脆弱性
漏洞扫描器评分/风险等级及其如何与您的org.
匹配
虽然扫描仪提供了自己的风险评级和分数,比如CVSS,我想这些在某种程度上有助于告诉组织哪些秃鹫需要立即注意,但它们真的反映了真正的风险吗?我的意思是,漏洞可能取决于上述分数以外的其他一些因素,漏洞扫描器没有智能来判断发现的结果是真是假(在一定程度上,例如与支持的补丁有关的问题),是
浏览 0提问于2021-03-01得票数 2
回答已采纳
我们目前正在实施ISO27001,我有一个关于风险评估文档的问题。
我们选择EBIOS作为我们的风险评估方法,我在ISO 27001上下文和EBIOS上下文中发现了一些强制性文档的模板,它们之间有很大的不同。
我的问题是:我是否需要生成两种类型的文档,即使它们的内容相同,或者EBIOS文档在这种情况下就足够了?
浏览 0提问于2017-03-21得票数 1
回答已采纳
如果我的经理要求我对我们的SaaS系统的安全性/易受攻击程度进行排序,那么有哪些方法可以这样做呢?
我知道有证书可用,但我正在寻找一些东西,可以在家里做。
此外,寻找一个有点正规化的评价体系。
浏览 0提问于2016-05-02得票数 2
回答已采纳
1回答
我目前使用没有密码短语的服务器SSL证书,以便Apache能够在无人值守的情况下启动。
客户的签名要求我们更安全地保护SSL证书。我还不确定他们的目标是什么,但现在我猜他们不希望磁盘上有一个不受保护的SSL证书。我想我不能避免在Apache的内存中使用它,但是让我们假设这是可以接受的。
我想出了一个精心设计的系统,将传递短语保存在内部服务器(即不在第一线web服务器上)的进程内存中,并使用Apache SSLPassPhraseDialog (http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog)将其交给前线
浏览 0提问于2010-02-02得票数 7
回答已采纳
Azure网络管理器安全配置“NRMS-ZeroTrust.”在Azure VM上创建了54个入站端口规则,关闭了我的活动RDP会话并阻止了对Server的所有访问。
是否有其他人与他们的网络管理器(预览)有类似的问题?下面是我的Azure网络和的屏幕打印,尽管在预览版中,它看起来像是stackOverflow关闭了您需要看到的规则信息。
我选择了“休假预览”,但这并没有删除规则。
我看到了,但我不知道“取消部署安全管理配置部署”意味着什么,因为文档中没有链接。与所有其他Azure网络入站端口规则不同,您不能钻入或删除ZeroTrust配置创建的规则。创建一个规则显式允许我的工作站的
浏览 7提问于2022-04-01得票数 1
嘿,我正在为web3搭建一个平台,我想节省我用户的煤气费。
我正在考虑将所有事务缓存到Redis中。然后每天更新一次区块链!所以我只付了一次煤气费。
我不知道,这是个好办法?还是个愚蠢的主意?
我的意思是,我的顾客并不真正知道(或)关心他们的余额在链上的更新。我们为什么不把它缓存起来,然后再更新..。
浏览 2提问于2022-03-22得票数 0
本来安装了wdcp,但是最近一朋友跟我说用宝塔更好,wdcp比较占用资源,然后宝塔不能安装云锁,好像不兼容然后想安装宝塔又不想舍弃云锁,因为有些云锁貌似不错,问下腾讯云主机有没有自带的这个防御[图片]第一就是漏洞的防注入[图片]还有这个CC防御不知道腾讯云主机有没有自带的这些等等
浏览 735提问于2017-04-04
我对R并不熟悉,我试图理解为什么当我们在两个逻辑向量之间使用&或者,\时,它只返回一个元素
a<-c(TRUE,FALSE,TRUE)
b<-c(FALSE,FALSE,FALSE)
a&&b
为什么这不返回一个逻辑向量?
浏览 5提问于2022-03-06得票数 2
作为一家SaaS供应商,我们希望符合我们新加坡潜在客户的要求。新加坡金融管理局授权每年对新加坡金融机构的数据中心进行TVRA (威胁和脆弱性风险评估)。
要进行TVRA,是否有必要亲自访问数据中心,或者我们是否可以向我们的定位中心发送一份关于DC使用的物理安全控制的问卷,并回顾其答案和证据?一般的行业标准是什么?
浏览 0提问于2018-07-19得票数 1
随着互联网行业发展,黑客产业链增多。黑客入侵,相对于网络攻击有着更大的破坏力,系统被入侵,信息可能丢失,泄露,应用系统就会毁于一旦。则在这样的情况下,应如何建立有效的安全运维体系?
浏览 1018提问于2018-05-24
3回答
我想应用ISO 27001的最佳实践,因为一个公司还没有完成其最终的在线架构,它仍在开发阶段。然而,他们几乎知道要使用哪些技术/系统(主要是在云上),但是几个部分之间的连接还没有最终确定,还有一些与安全相关的实现,比如WAF等等。只需要注意的是,所有的技术/系统都是由云提供商托管的,云提供商已经为其提供的所有服务通过了ISO27001认证。
问题是,如果可以应用基于资产威胁-漏洞的风险方法,并按照几个ISO27001工具包的建议完成所需的文档。这种方法在ISO 27001中仍然有效,应用起来也很简单,但显然,这将是完全定性的,因为没有任何渗透测试可以应用于发现潜在的技术漏洞,并且开发并不是执行
浏览 0提问于2016-10-16得票数 1
我尝试使用这个示例(https://github.com/azure-ad-b2c/samples/tree/master/policies/conditional-access/policy)来调用条件访问评估,强制用户在需要时传递它,然后进行补救。然后,我根据用户风险(https://docs.microsoft.com/en-us/azure/active-directory/identity-protection/concept-identity-protection-risks#user-linked-detections)和登录风险(https://docs.microsoft.
浏览 18提问于2021-10-22得票数 0
我的任务是更新我的部门的异常请求表,我正在尝试提出“是”/“否”的问题,这些问题可以被评分以确定请求的风险。
我在这个任务上遇到了麻烦,因为我需要一些问题,这些问题可以适用于我的组织中广泛的用户,因为有些人技术含量很高,而其他人根本就不懂技术。此外,我工作的公司大约有6k名员工,他们拥有许多不同的工作职能,所以问题必须非常灵活,以适应任何提交的请求。
浏览 0提问于2018-05-09得票数 4
我正在做一个作业,我们必须创建一个基本程序,接受三个字符串,然后反转字符串。我们还被要求在代码中查找可能的漏洞,但我没有发现任何漏洞。有什么建议吗?
#include <iostream>
#include <string>
using namespace std;
string reverse(string s) {
string result;
for (int i = 0; i < s.length(); ++i) {
result += s[s.length() - i - 1];
}
return result;
}
int main() {
st
浏览 3提问于2022-01-29得票数 1
我们知道在CCA1安全中,在看到挑战密文之后,
不允许再给对手解密预言。
但是在适应性安全方面,对手应该做些什么呢?请帮我解决这个难题。
浏览 0提问于2017-02-15得票数 2
我正在一家FS公司设计一个3 3PRM (第三方风险管理)流程,我很好奇其他公司如何验证他们的供应商问卷。
我所期待的系统是(在我发出供应商问卷,并收到回复后),将对验证程度的答复进行划分。
我在考虑三层:
第1层:供应商可以完全根据他们的问卷回答得到保证:也就是说,考虑到公司的风险水平,我们只需要问卷的答案(加上他们声称拥有的任何证书的副本,如ISO27001等)。
第2级:我们需要更多的证据以确保他们的安全:也就是说,我们可能需要看到(例如)他们声称坚持的政策的副本,再加上他们被维持的证据等等。
第3级:供应商将需要实地访问以核实他们的反应:也就是说,供应商代表了足够的风险,我们需要通过自
浏览 0提问于2020-05-01得票数 0
我理解将我们的数据分类,并将风险程度与不同类别的数据联系起来的概念。我的问题是--是否有先例对用户进行同样的分类?具体来说,是否有一个标准(如NIST或其他一些标准)建议对用户和与他们相关的风险进行分类,就像对数据的分类一样?
浏览 0提问于2016-06-01得票数 2
回答已采纳
1回答
在移动应用程序安全检查表中有一个名为MSTG-ARCH-3的需求,它描述:
“为移动应用程序和所有连接的远程服务定义了高级体系结构,并在该体系结构中解决了安全性问题。”
我很难理解他们的意思,因为在OWASP站点中,他们只是定义了需求,但没有给出任何示例说明这是如何工作的,以及如何以正确的方式实现。
是否有人对此要求有很好的洞察力或参考?
浏览 0提问于2023-03-10得票数 1
回答已采纳
1回答
我正在处理多维数组,并对每个元素进行比较。到目前为止,我一直在使用循环,但我想知道如何使用apply(或另一个更好的函数来避免循环)。我不确定..I尝试过几种方法,但效果并不好。
让我们假设下面的例子,其中计算三维元素的95百分位数,然后进行比较:
m <- array(1:30, c(5,4,3))
mp <- apply(m,1:2,quantile,probs=c(.95),na.rm=TRUE)
temp <- array(dim=dim(m))
for(i in 1:5){
fo
浏览 0提问于2015-05-05得票数 2
回答已采纳
1回答
如何利用历史事件进行风险评估。例如,我知道您可以查看过去x个月的恶意软件感染情况,以便更好地估计恶意软件感染的可能性和影响(尽管您实际上不能完全依赖它,因为仍然存在不确定性)。
我想知道是否有更多的类别或例子,历史事件被用来进行更有效的风险评估?
浏览 0提问于2015-03-19得票数 2
回答已采纳
这也许是个不合适的地方,但我想我应该试一试:我对数据安全一无所知,在过去几周里我一直在努力教育自己,我已经为我正在创办的小型企业制定了一项数据安全政策/协议。我面临的主要障碍是,我在没有安全网络的情况下创办这家公司,因为我正在远程工作,并且在接下来的几个月里都在旅行。
在政策出台之前,只需提供一些关于小型企业的信息:它是一家从事数据分析、可视化、数据管理和处理的小型企业(1-3名员工)。我们将要处理的数据可能非常敏感,但它不需要符合HIPAA (此时)。
这是政策草案..。
如何安全地将您的数据发送给我们我们建议您通过我们使用的安全文件传输服务发送您的数据文件。该文件传输服务符合多州和联邦隐私
浏览 0提问于2017-10-31得票数 0
渗透测试是否可以被视为详尽的漏洞管理计划的一部分?P.S:我明白渗透测试和漏洞评估之间的区别。但我想知道两者是否都属于漏洞管理的保护伞?
浏览 0提问于2013-05-01得票数 5
回答已采纳
在合理分配预算-按特定地区的风险比例分配时,如何计算相对风险?
我可以想到这样的例子:我的客户保护自己的网站很好,但前门没有安全,也没有对承包商的审查--这似乎很疯狂,但通常归结为他们无法比较风险。
答案可以是定量的,也可以是定性的,但我只是对你所知道的组织如何做到这一点感兴趣。
浏览 0提问于2011-05-05得票数 10
回答已采纳
1回答
分层安全,也称为分层防御,描述了结合多个减轻安全控制来保护资源和数据的实践。
如何说服别人使用分层安全?虽然反驳如下:“
我们已经有了坚固的防火墙.
他总是安装所有的安全更新..。
我在我所有的页面上都使用HTTPS ..。
..。那就够了!“
浏览 0提问于2017-02-22得票数 1
回答已采纳
场景:您将看到一个CVN,它详细说明了使用root权限运行的一个通用软件存在允许非特权用户创建或覆盖任何文件(包括root拥有的文件)的漏洞。
进一步阅读后,您会发现该漏洞只影响v1.6和v1.7。错误在版本1.8中被修复,最新的软件是v1.9
但是,您发现在企业中运行的版本是v1.2,它根本不受此漏洞的影响。
我的问题是:
:即使您使用的版本不受影响,升级到包含该漏洞的版本之外的版本是否是最佳实践?
我可以预见到可能会有不同的观点。
一方面,通过在易受攻击的版本之前保留一个版本,软件有可能升级到包含人为错误漏洞的版本。比方说,负责包装的人没有发现这个问题。
然而,另一方面,人们可能会说,我们
浏览 0提问于2017-12-03得票数 2
目前,我正在与一些同事讨论开发包含WiFi的解决方案。他们说,如果我们实现所有可能的WiFi加密方法,包括Open,这不是最先进的。因此,他们只想把设备限制在WPA2上。
这在我看来似乎不合逻辑,因为我以前从未在任何解决方案中见过这种方法(例如:电话)。
开发一个只有WPA2的Wifi设备以防止WiFi漏洞是正确的吗?
浏览 0提问于2019-07-11得票数 1
回答已采纳
如果我们可以将WhatsApp组连接到电报组,并从whatsapp到电报获得消息,反之亦然,那就太好了。有没有机器人程序可以做到这一点。如何搭建一座桥或类似的东西?
浏览 0提问于2018-01-20得票数 5
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
