用什么方法来评估我的信息系统的安全级别？

本文旨在描绘三种方法的肖像，这三种方法将允许您主动评估您的计算机系统的全部或部分的安全级别。这可能涉及到您的技术基础(架构、服务器)、应用程序(软件)或组织(规则和用户的管理)。我们将使用一个简单的比喻来说明它们:暴露于潜在闯入的房子，类似于具有某些脆弱性的IS。如果RSSI与网络问题相关的预算在2022年增加，某些简单的做法已经可以让你避免最坏的情况。

级别1:漏洞扫描

那是什么?

A 漏洞扫描是一个可以自动化的过程，允许您梳理整个或部分计算机系统(应用程序、服务器、网络)。目标?检测系统设计、配置和保护方式中可能存在的漏洞、弱点和错误。

在什么样的背景下，应该多久使用一次?

建议每年在内部进行几次这些测试:至少一个季度一次，最好一个月一次。

这些扫描大多数是自动的;定期举办这些活动会更加容易。从更细的角度来看，还可以设置工具对每个新部署执行扫描(例如，检查依赖关系是否更新)。

优点和缺点

优势:

• 成本:这些扫描可以在内部完成，因此成本较低，而且是针对一些开源工具的。
• 时间:可以使用自动工具，根据定义的范围，只需要几个小时就可以完成。

缺点:

• 相关性:分析停留在表面上，所有的扫描并不一定建议对已识别的漏洞进行修复。
• 质量:在这些扫描中经常会出现假阳性，这需要人工干预来进行分类。
• 优先级:这些扫描报告了与您的业务挑战不相关的漏洞，因此需要人工干预来重新确定要进行的项目的优先级。

但这和我们的房子有什么关系?

在这种情况下，想法是你自己在你的房子周围列出所有可能导致犯罪的错误:一扇破窗户，一把18世纪的锁，一个安全摄像头平面监控，等等。(=漏洞)。

这个练习没有进一步深入，您的列表也不一定会告诉您这些缺陷是否可被利用:也许这个看似脆弱的锁最终会被证明是不可侵犯的。除非你尝试去强迫，否则不可能知道。

第二级:安全审计

那是什么?

A 安全审计由人工干预组成，通常由外部服务提供商执行，并允许在时间T查看全部或部分安全风险一个是。

这一次的目标不仅是验证是否符合既定的标准和协议(例如，针对公司领域的程序或法律/法规),还包括利用倾听者的专业知识。

在什么样的背景下，应该多久使用一次?

考虑到这些审计的成本，频率在逻辑上低于漏洞扫描。这也在很大程度上取决于你的公司及其所处行业的风险敞口:金融机构或制药实验室往往会更经常地进行这些审计。

因此，建议平均每年至少组织一次审计，最好是每季度一次。在发生数据泄露、系统更新或数据迁移时，这些审核也是必要的。或者，更一般地说，你的生活中的任何重大变化。

优点和缺点

优势:

• 专业知识和客观性:由外部行为者进行的审计允许您获得更深入和相关的观察和建议。与内部审计相比，这也避免了任何不透明或利益冲突。
• 规章:审计提供了一个“印记”或者证明你的信息系统符合某些标准。它可以让你为更正式的审计(政府、ANSSI类型的组织等)做好准备。)

缺点:

• 成本:调用外部服务提供商确实比漏洞扫描甚至内部审计更昂贵
• 时间:专家必须花时间熟悉您的信息系统和业务挑战，以便提出最佳建议。

但这和我们的房子有什么关系?

这一次，你请你的邻居，一名警察，来为你完成先前的练习。这将对你家的安全有更客观和更敏锐的观察，最重要的是，了解市场的安全标准。

他不仅能够观察到你家里的潜在缺陷(像你一样)，还会为你提出建议，让你达到市场标准:装甲门、五点式锁、防盗窗。然而，他总是只是看着，并没有试图闯入你的家。

第三级:渗透测试，或“笔测试”

那是什么?

这入侵测试，或称“渗透测试”，可以将攻击与环境联系起来，并尽可能多地利用发现的漏洞。

这最终是一种更现实、更具体的审计:你授权公司以外的人站在黑客的立场上攻击你的is(应用程序、服务器、网络)。例如，通过模拟开发人员工作站被盗，甚至有可能在物理上模拟真实的攻击场景。

有三种方式要进行这些笔测试:

1. 在一个 黑盒子:攻击者无权访问您的IS/获取其信息。这种模式模拟来自与您的公司完全不同的黑客的攻击。
2. 灰色方框:攻击者可以访问您的信息系统。这种操作模式模拟，例如，一个没有最新信息的前雇员的入侵企图。
3. 在一个白箱:攻击者拥有对您的信息系统的所有必要访问权限。例如，这种操作模式模拟公司员工或具有公司访问权限的攻击者的入侵尝试。因此，这是一种非常类似于安全审计的方法，只是目的略有不同(妥协的目的与合规性目标)。

在什么样的背景下，应该多久使用一次?

像安全审计一样，频率很大程度上取决于您的暴露程度和您所在的行业商业运作.

但是，请注意不要误解:所有网站和应用程序面对风险:对于高度敏感的应用，建议达到略高于市场标准的水平。对于一个不太公开的应用程序，在每次主要版本升级时创建一些就足够了。

优点和缺点

优势:

• 真实性/相关性:pen测试是模拟真实攻击的最具体的方法;因此，该报告的假设性较低，建议非常具有可操作性。

缺点:

• 风险:通过在真实条件下模拟攻击，您完全暴露了您的IS的安全性。校准不当的笔测试可能会导致数据损坏或服务器崩溃等后果。
• 伦理:技术曾经和真正的黑客一样;重要的是要探究并了解你的员工、客户、服务提供商等如何看待这些笔式测试。

但这和我们的房子有什么关系?

这一次，你要求这个仍然驻扎在当地警察局的邻居闯入你的家，但通过一个特定的和最敏感的地方:你的前门。它的目标是访问并尝试破坏您家中尽可能多的物品，分析主要缺陷，并列出容易被盗的物品。

但是，您可以在三种方法之间进行选择:

白箱当前位置你不仅要给他们前门的钥匙，还要给他们车库、保险箱等的钥匙。

灰色方框你只给他们你前门的钥匙。

黑盒子:你什么都不给他们，你看他们是否设法进入你的家。

这个模拟测试将允许你用现实来面对你对你家的安全性的假设。也许你珍藏的那把18世纪的锁会比扫描或审计报告显示的要坚固得多。

结论

因此，有几种方法可以让你分析你的信息系统的安全级别。你很有可能将几种方法结合起来，但是你的决定将取决于几个标准:你公司环境的敏感性，你的信息系统的规模，以及你希望分配给它的时间和预算。

如果你想更深入地研究这个问题，或者如果你的公司在这方面已经足够成熟，第四种方法可能会让你感兴趣 红队“笔测试。这种方法来源于经典的pen测试，覆盖范围更广(例如，整个is ),传播时间更长(几个月),这意味着您公司中很少有人知道。