问安全审计优先事项

EN

这个答案在很大程度上取决于你所保护的系统和数据的类型(S)，也取决于你试图通过你的评估实现什么。您还需要考虑组织的历史评估。例如，如果这些资产更有可能被窃取或损坏，那么您肯定希望首先对物理安全检查进行优先排序。

也就是说，从保护最有可能与互联网相连的信息资产的角度出发，我建议采取两种方法，建议进行外部渗透测试，以便向客户提供关于面临互联网的潜在关键问题的快速反馈，并将其与通用的安全评估结合起来，这将真正深入了解组织的工作方式，而不是安全方面的工作。重要的是要注意，有许多不同类型的渗透试验。

至于优先级问题，我通常会发现，这更多地是一个时间/金钱预算问题，客户总是试图平衡什么才能实现“最有价值”。我想既然你问了这个问题，无限的资金和/或无限的时间显然不是一个选择。

我的建议是首先通过评估/审计确定一个组织希望实现的目标。一旦你有了一套明确的目标，推荐/优先考虑最好的评估方法就容易多了。

我将冒险说，如果你在一家从未做过任何事情的公司启动一个安全程序，那么每个特定领域的结果都可能会很糟糕。如果是这样的话，您就不想在任何一个领域花费大量的评估预算(比如对单个应用程序的深度渗透测试，或者仅仅是物理安全评估)，因为如果这显然会很糟糕，那么大量的努力将被浪费。在这种情况下，我建议进行一次通用的安全评估，其目标是分析整个组织的安全性，并明确确定项目的最终目标是评估人员为每个需要额外安全的领域创建下一步的“路线图”(这也可以在PCI、NIST sp800-53或ISO-27000的范围内完成)，但最重要的是报告并不局限于这些标准。

在这种特殊情况下，我认为选择个人/公司这样做对评估的成功同样重要。如果你能找到一个真正想帮你确保公司安全的人，在安全方面非常有天赋，并且能以一种他们能接受你的方式向高管清楚地传达需要做的事情，那么你就会有一种非常宝贵和令人眼花缭乱的经验，这会对你的组织的长期健康产生巨大的影响。同样，如果您在内部为您的组织做这件事，一定要考虑如何最好地利用这一机会来帮助您的组织长期。

回到您的问题上，对于大多数公司来说，选择不同类型的评估更频繁地受到法规要求、客户/供应商协议或内部政策的驱动。对于那些不受这些变量之一驱动的组织来说，其范围通常由提供最“物有所值”的因素驱动，而最终，这通常是一种方法的混合，而不是1、2、3的具体排序。最后，关于影响结果准确性的问题，我认为，在这一领域不应该有冲突，而应该是技术深度的不同程度。冲突通常是预算(时间和/或金钱)的冲突，因此，在给定的预算和时间线的最大深度范围内进行权衡，更多的是事情是如何解决的。

作为一个相关的建议:一定要深入学习所有的审计、安全和渗透测试标准，但也不要依附于它们。他们都有自己的弱点和问题。除非你对他们的每一个优点和弱点有了深刻的理解，否则你就无法进行或正确地要求高质量的评估。请注意，我不认为这东西在技术上很难学，但它可能需要比你有更多的时间比你开始之前。如果你，或者其他读到这篇文章的人，碰巧处在这种情况下，而且匆忙(我在这里做假设)，那么雇佣一个没有任何利益冲突的人，只花一两个小时来帮助你找到在你开始之前在你的特定情况下前进的最佳方法，这可能是明智的。

在任何情况下，这可能不是一个简单的答案，你可能一直期待，但希望你发现它有用。