来自 数据 2021-11-05 21:00 的文章

香港高防ip_cdn防护怎么安装_如何防

香港高防ip_cdn防护怎么安装_如何防

红色,黄色,呃…几年来,我一直对安全问题的优先次序感到沮丧。我最近写了一篇关于当有大量问题需要处理时,数据驱动的方法如何帮助确定修复的优先级。很多年前,我们就决定把绿色产业和绿色产业结合起来。简单。现在我要做的就是从所有的红色问题开始,然后马上解决,毕竟它们是红色的!当你深入研究这些问题时,这种方法的问题是,优先级划分可能很复杂,并且包含许多不同的因素。更复杂的是,这些因素往往因组织而异。我完全赞成把事情分解成最简单的部分,但要做到这一点,就要混淆其中的复杂因素,而不是消除它们。信息安全需要一个决策系统让我们从一个我熟悉的世界里的一个看似简单的例子开始。我们应该了解缺陷或漏洞的哪些因素,以帮助指导我们如何确定修复的优先级?以下是我脑海中的一些事情…可利用性利用这个漏洞有多容易?是否有通过Metasploit、Core、ExploitDB公开可用的漏洞攻击?什么是访问向量?它需要多向量攻击吗?它是否隐藏在身份验证或附加控制之下,从而减少攻击面?受影响资产我们如何评估这一特定资产?此资产存储或处理的数据类型是什么?资产是否是更大系统的一部分(参见业务流程受影响)?是否有与此资产相关的特定保密性、影响或可用性要求?此资产是否有合规性要求或其他SLA?网络位置资产是否公开?它是否位于DMZ或核心网络中?威胁代理可以从这里访问哪些其他资产或系统(请参阅多向量攻击)受影响的业务流程上述资产是否是重要业务流程的一部分?利用此漏洞是否会中断或破坏此过程?(中情局)受影响的用户数有多少用户受此漏洞攻击的影响?攻击是否直接针对用户的应用?可发现性发现这个漏洞有多容易?(通过自动化工具、专业技能等)可能还有更多的,包括一些公司特有的,但为了简洁起见,让我们使用这个快速列表。一个简单的例子所以让我们把这个标准应用到一个例子中。漏洞:公共网站上的持久XSS网站跨站点脚本问题可能会有很大的不同,但我们将其称为微不足道的漏洞。由于这是一个自定义的web应用程序,因此没有公开的漏洞攻击,服务器高防cdn,只需少量的技能和浏览器就可以利用它。网站是我们面向公众的网站。它不处理太多的数据,主要是作为信息。这对我们的销售、市场营销和公共关系都很重要。我们的公共站点是直接可用的,不需要经过身份验证。DMZ中有几个系统可以从。其中一些系统包括处理"机密"信息而不是"敏感"信息的处理器。与网站相关的主要业务流程是公共关系和营销。我们的公共网站每月都会收到数百万次独特的访问,利用这个漏洞可以直接攻击这些访问者。有效载荷可以变化,服务器什么防御ddos,但假设是最坏的。发现这个跨站点脚本问题很简单,可以通过自动化工具或通过web浏览器手动完成。在这个简单的例子中,ddos防御只能烧钱,我们开始了解这个漏洞的严重程度。只要浏览一下这个即兴的决策因素列表,我就可以看到这是如何导致针对大量用户的攻击的,而且基于发现和利用此缺陷所需技能的缺乏,这种可能性相当高。我们可以有更多的数量我是否过度简化了这一点?当然。可能还有其他几个因素推动了优先级的确定,海外高防棋牌cdn,包括与其他优先级的竞争(机会成本)。我也把这个问题简化为一个定性的决定,cdn高防和服务器配置有关吗,但没有理由不能更定量。我想说的是,即使是一个简短、简单的即兴清单,也比红、黄、绿更能给我的补救工作带来更多相关因素。