如何编写我们软件中的安全弱点报告

Question

我是一个内部开发团队的一员，该团队提供我们公司在世界各地的工厂使用的软件，用于生产和订单管理，并使站点能够通过广域网彼此共享数据。

我最近受命在4个月内完成以下目标：

编写一份报告，对我们的软件套件和基础设施中的安全弱点进行风险分析，并给出当前和建议的缓解措施。

这将是第一次对我们的系统进行这种分析，并且没有任何重要的安全经验，我不知道从哪里开始。

因此，我的问题是:我应该如何最好地分析企业软件系统及其周围的基础设施的风险和漏洞？

或者，换一种说法，我应该如何分解分析我们系统和基础设施安全的任务？

请注意，在另一个站点有一个单独的团队负责一般的网络安全。

是否有推荐的资源(网站、书籍等)供我参考？

Answer 1

风险评估实际上是一项持续不断的任务，因为您的报告将产生基于目前已知漏洞的结果。显然，新的漏洞一直在被发现，因此必须定期进行风险评估，以便向管理层提供最新的信息。

有不同类型的风险评估可以适用于这种情况。

如果您是一名分析师，并希望了解您是否存在漏洞以及在何处存在漏洞，则可以使用自动漏洞扫描器来生成正在运行的应用程序和基础结构的评估。看看内苏斯或奎尔，但是还有许多其他选项。

如果您是一名软件工程师或类似人员，并且您对所讨论的应用程序的业务需求和流程有很好的理解，那么您可以进行威胁建模练习。这将使您能够分析数据流和数据模型，以确定风险领域。这可以帮助定义可以在软件应用程序本身中实现的安全控制。它还可以识别可能部署其他不同控件(如防火墙、IDS/IPS或WAF )的区域。

如果您已经部署了您的应用程序，并且需要了解它是否容易受到危害，这些漏洞在哪里以及漏洞对数据的影响是什么，那么渗透试验可能是有用的。

对于一个更成熟的组织来说，风险管理是一个持续的过程，导致持续的改进。查看ISO 27001和ISO 27005以获得信息安全风险管理的标准方法。