问企业级安全测试方法

EN

您可以使用OpenSAMM或BSIMM框架对您的开发过程进行安全性测试。在此之后，您可以计算未实现/不完整的安全实践的风险，以便将其包含在基于CSF的主要风险评估中。

这个问题有点令人困惑。您只是检查应用程序的安全性吗？或者是它们也包含在环境中？回答…的问题

如何在企业一级进行风险评估？

深度防御是一种理解，即有多个层次的安全需要以一种整体的方式来解决。看这张照片

https://blog.knowbe4.com/hubfs/Defense_在……里面_Depth.jpg

和wiki：https://en.wikipedia.org/wiki/Defense_在……里面_深度_(计算)

解决这个问题有多种方法，但首先您必须定义范围，这在您的问题中似乎是缺失的。包括网络安全吗？是否包括“端点”？网络钓鱼是否属于你的范围。这仅仅是应用程序安全吗？那人身安全呢？当你说防止数据丢失时，你指的是数据库中的信息泄漏，还是限制公司笔记本电脑向外发送公司文件？在你想出一个明确的计划之前，你必须澄清范围。一旦你这样做了：

https://en.wikipedia.org/wiki/Cyber_安全性_标准#ANSI/ISA_62443_(原)_(伊萨-99)

62443系列的标准涵盖了你上面提到的大部分内容，包括SDLC。它“笨重”，并没有要求特定的测试在许多证书，但也是健壮的，并提供了一个伟大的“信封”的测试开始。

OWASP有一个开发安全代码和安全编码实践的框架，它们有评估模板：

https://www.owasp.org/index.php/OWASP_安全性_知识_框架

https://www.owasp.org/index.php/OWASP_ASVS_评估_工具

对于更经典的方法，请使用Microsoft的基线框架：

https://en.wikipedia.org/wiki/Microsoft_基线_安全性_分析器

这将涵盖基于Windows环境的大多数安全级别。

美国-证书有框架：

https://www.us-cert.gov/sites/default/files/c3vp/framework_guidance/commercial-facilities-framework-implementation-guide-2015-508.pdf

https://www.us-cert.gov/sites/default/files/resources/ncats/VADR%20Sample%20Report_508C.pdf

https://www.us-cert.gov/resources/ncats

而SANS也有覆盖大量地面的基地：

https://www.sans.org/reading-room/whitepapers/auditing/base-security-assessment-methodology-1587

别忘了遵守规定。Hippa，PCI，SOX等所有可用的信息，您可以很容易地找到与互联网搜索。

我喜欢的这个活动的访问平台是原子红队，它与您的目标相同。然而，在这一层下面还有很多要知道的--其中大部分都在DevOps的“手动安全性”一书中得到了很好的介绍。还有许多人员和管理鉴证的存在，远远超出了技术层面。

还有更多关于网络风险的知识，最好用SimpleRisk来表示。如果你想和企业主交谈，要知道在效率层有很多需要修正的地方(在投资回报率和生产率方面)，但是网络风险最终是通过不确定性的视角来防止损失的。

这本书，发展网络安全计划和政策，第三版，涵盖了最好的时候，它说，企业可能只能容忍3%的最低资本回报率在15%的网络安全预算。如果您想要显示控制如何达到标准，一定要查看这本书，如何衡量任何在网络安全风险。