博客
什么是网络安全评估?
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

网络安全评估是旨在发现以下问题的审核 安全漏洞 有被利用,可能对业务运营造成伤害或可能暴露的风险 敏感信息.  

网络安全评估的目的是什么?

网络安全评估的目的是通过发现潜在的威胁来保护您的网络,设备和敏感数据免遭未经授权的访问 攻击载体 从内部网络的内部和外部。

此外,您可能要承担监管责任,具体取决于您的行业。例如,信用卡处理器需要符合PCI DSS,而医疗保健组织则需要符合HIPAA。 

网络安全评估可以回答以下问题:

什么是网络安全评估?

有两种类型的网络安全评估:

  1. 漏洞评估: A 漏洞评估 显示组织的弱点所在。 在此处阅读有关漏洞的更多信息 和 这里的漏洞管理 .
  2. 渗透测试: 渗透测试 旨在模仿实际 网络攻击 or 社会工程学攻击 such as 网络钓鱼鱼叉式网络钓鱼 or 捕鲸.

两者都是测试您的成效的好方法 网络安全 防御并衡量攻击对特定资产的潜在影响。

如何进行网络安全评估

网络安全评估只是另一种 网络安全风险评估。流程如下:

  • 盘点资源
  • 确定信息价值
  • 评估您的IT基础架构的漏洞
  • 测试防御
  • 在网络安全评估报告中记录结果
  • 实施安全控制措施以改善网络安全
  • 持续监控问题和变化

盘点资源

第一步是确定要评估的资产并确定评估范围。这将使您可以优先确定首先要评估的资产。您可能不需要或不需要对每个无线网络,Web应用程序和Wi-Fi接入点执行评估。即使您愿意,也可能没有预算。

就是说,这有助于盘点所有网络,设备,数据和其他资产,以便您确定要保护的资产。此过程将为您提供整个网络及其周围的IT安全控制的概述。 

确定信息价值

大多数组织不'没有无限的信息安全预算(InfoSec),因此'最好将范围限制在最关键的资产上。此外,您应该考虑组织可能需要遵守哪些法规和合规性要求。 

阅读我们的合规性监控最佳做法指南,以获取更多信息

为了节省时间和金钱,请花时间开发数据分类策略,该策略定义了确定资产或数据片段价值的标准方法。 有关更多信息,请参见我们的数据分类指南

大多数组织将包括资产价值,法律地位和业务重要性。政策正式纳入您的 信息风险管理计划,使用它来将每个资产分类为关键,主要或次要。 

其他可以帮助您确定价值的问题包括:

  • 是否有与暴露或丢失此信息相关的财务或法律处罚?
  • 这些信息对竞争对手有多有价值?
  • 我们可以从头开始重新创建此信息吗?需要多长时间以及相关费用是多少?
  • 丢失此信息会影响收入或盈利能力吗?
  • 丢失这些数据会影响日常业务运营吗?没有它,我们的员工可以工作吗?
  • 这会给声誉造成什么损害 数据泄漏?

评估您的IT基础架构的漏洞

漏洞是可以在原本安全的网络中利用的任何东西。 

网络安全风险可能来自组织内部和外部,安全习惯不良的内部人员或 第三方供应商 with inadequate 信息安全政策 有权访问您的网络的人。 

由于风险可以多种多样,因此健全的安全风险评估过程应包括:

  • 网络扫描: 全面扫描您的所有网络's ports 和 其他攻击媒介在这里阅读更多关于开放港口的危险。这应该包括Wi-Fi,物联网和其他无线网络,并将识别可访问的主机和网络服务(例如HTTP,FTP,SMTP和POP-3)。
  • 内部弱点: 许多组织将选择雇用外部安全顾问来从外部测试人员和安全顾问。 
  • 网络枚举: 在网络上可以识别远程主机操作系统的主机或设备的发现。攻击者知道操作系统后,便可以检查 CVE for a list of known 漏洞 to exploit.
  • 第三方审核: 查看所有第三方及其对您内部网络和网络的访问级别 敏感资产.
  • 信息安全政策审查: 审查有关员工培训,BYOD(自带设备)和电子邮件使用情况的政策。

您也应该考虑其他威胁:

  • 自然灾害:洪水,飓风,地震,闪电和火灾可能会破坏任何网络攻击者的生命。您不仅会丢失数据,还会丢失服务器。在本地服务器和基于云的服务器之间进行选择时,请考虑自然灾害的可能性。
  • 系统错误:您最关键的系统是否在高质量设备上运行?他们有很好的支持吗?
  • 人为错误:是你的 正确配置敏感信息的S3存储桶?您的组织是否对恶意软件有适当的教育, 网络钓鱼和 社会工程学?任何人都可以意外单击恶意软件链接或将其凭据输入网络钓鱼诈骗。您需要具有强大的IT安全控制措施,包括常规数据备份,密码管理器等。
  • 对抗威胁第三方厂商,内部人员,可信任的内部人员,特权内部人员,已建立的黑客团体,特设小组, 企业间谍活动,供应商,民族国家

由于这可能很耗时,因此许多组织选择外部评估服务或 自动化安全解决方案.

测试你的防御

一旦您'评估了您的组织'漏洞,您想测试您的安全控制和风险缓解技术是否阻止攻击者利用它们。

这可以通过手动渗透测试或使用自动化来完成 道德骇客 tools like Metasploit或Nmap

在网络安全评估报告中记录结果

现在您需要开发一份报告以支持管理'关于预算,政策和程序的决策。对于每个漏洞,报告应描述其风险,利用和价值。以及影响和可能性,以及控制建议。

当您完成此过程时,'您将了解公司运营的基础架构,最有价值的数据是什么以及如何更好地运营和保护业务。

实施安全控制措施以改善网络安全

您很可能在网络中发现了缺口或薄弱环节。列出它们并制定补救计划。 

可以通过技术手段(例如硬件或软件, 加密网络入侵检测机制,两因素身份验证,自动更新, 连续数据泄漏检测,或通过非技术手段(例如安全策略)和物理机制(例如锁或 生物识别访问.

此外,将控制措施分为预防措施和侦查措施。预防性控制旨在阻止攻击的发生,例如 持续的供应商安全监控,而侦探控件会尝试发现攻击发生的时间。 

持续监控问题和变化

除了手动的网络安全评估。许多组织正在投资 安全等级 提供连续监视,不仅监视其网络安全,而且监视其整体 安全态势 too.

安全等级也通常由 第三方风险管理 团队评估供应商的质量' security practices.

安全等级或网络安全等级是对组织进行数据驱动,客观和动态的评估's 安全态势。它们是由 值得信赖的独立安全评级平台 使它们有价值,可以作为组织的客观指标's 网络安全绩效.

安全等级通过提供连续,客观,可操作且始终最新的数据来补充传统的风险管理方法。  

在此处阅读有关安全等级的更多信息

UpGuard如何帮助您监视和改善网络安全

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard'的安全等级以保护其数据, 防止数据泄露 并评估他们的安全状况。

UpGuard供应商风险 可以最大程度地减少您的组织用于评估相关和第三方的时间 信息安全 通过自动化控制 供应商问卷 and providing 供应商问卷模板.

我们可以帮助您持续监控供应商'外部安全控制,并提供公正的安全评级。 

我们还可以帮助您立即针对您当前和潜在的供应商与他们的行业进行基准比较,以便您了解它们的堆叠方式。

为了评估您的信息安全控制, UpGuard BreachSight 可以监视您的组织以进行70多种安全控制,从而提供简单易懂的信息 安全等级 并自动检测S3存储桶,Rsync服务器,GitHub存储库等中泄漏的凭据和数据暴露。

UpGuard与其他安全评级供应商之间的主要区别在于,有非常公开的证据表明我们在预防 数据泄露 and 数据泄漏

我们的专业知识在以下方面得到了体现: 纽约时报华尔街日报彭博社华盛顿邮报福布斯路透社和 TechCrunch。

您可以详细了解我们的客户在说什么 Gartner评论和 在这里阅读我们的客户案例研究

如果你'd想看你的组织's 安全等级, 单击此处请求您的免费安全等级.

立即预订UpGuard平台的演示.

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状