企业所有管理人员都应参与应用风险管理步骤
发布时间:2022-05-09 09:40:32 所属栏目:安全 来源:互联网
导读:网络安全政策管理服务供应商AlgoSec公司在其2014年网络安全状态报告中,采访了2014年RSA大会上142位安全和网络运营专业人士。该调查旨在确定受访者在平衡业务关键应用的安全和访问要求时所面临的挑战。调查发现,企业内部署的应用正在急剧增加,60%的受访者
|
网络安全政策管理服务供应商AlgoSec公司在其2014年网络安全状态报告中,采访了2014年RSA大会上142位安全和网络运营专业人士。该调查旨在确定受访者在平衡业务关键应用的安全和访问要求时所面临的挑战。调查发现,企业内部署的应用正在急剧增加,60%的受访者表示他们的企业有超过50个应用需要管理,而20%的受访者需要负责超过500个应用。 该报告称,这些海量应用正在给安全和网络专业人士带来各种挑战,约有一半的受访者表示,最大的挑战是简单地识别和优先排序关键漏洞。 另外,21%的受访者指责负责这些应用的业务部门,声称他们不愿意或者不能够解决已经发现的漏洞。另外24%的受访者表示他们的企业根本不了解业务方面的安全风险,让他们没有办法及时修复漏洞。 同样的道理,Reichenberg表示,“安全从业人员也应该分析这种风险,并回答这些问题,你的风险的承受能力如何?为了得到更好的保护,你想要投入多少资金?最后,企业应用所有者需要了解其应用的风险水平,并确定部署何种措施。” 面对Heartbleed OpenSSL漏洞,非常重要的是强调这个漏洞的严重性以及及时修复漏洞的必要性,但安全专业人员也应该让决策者了解该漏洞存在于业务关键性web服务器还是不会造成太大影响的服务器中。Reichenberg表示,由于大型企业可能会有数百台web服务器,提供这些信息能使企业领导者做出更明智的安全决策,并且,在Heartbleed的情况下,这允许安全团队优先考虑为有漏洞的服务器安装补丁。 “这只是一个漏洞。如果你见过漏洞扫描仪的结果,你会看到几十万漏洞,几乎超过你的能力范围,”Reichenberg表示,“我们的想法是,拿着一个业务应用,并说‘这个应用存在整体水平的风险’,如果这种风险超过企业的承受阈值,那么,你需要采取一些行动。” (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号