Étape n° 5 : Apprendre de l’expérience de votre entreprise en matière de sécurité Le suivi d’un incident de sécurité implique généralement une série d’évaluations des vulnérabilités. Les groupes de sécurité vérifient que les efforts de remédiation ont réellement éradiqué le problème et corrigé les systèmes concernés. Différents types d’attaques nécessitent différentes procédures de récupération. Un incident d’accès non autorisé pourrait impliquer que l’attaquant obtienne un accès root à un système. Si tel est le cas, la marche à suivre recommandée consiste à modifier tous les mots de passe du système, conformément au guide de traitement des incidents de sécurité informatique du National Institute of Standards and Technology. Mais les organisations ne suivent pas toujours toutes les étapes” vers la récupération et la sécurisation complètes d’un système. Changer les mots de passe de tous les utilisateurs dans une grande organisation est un travail très fastidieux et un processus manuel long et très intensif. Un intrus qui obtient un accès root peut avoir obtenu un accès de niveau administrateur au système.
Les équipes de sécurité effectuent généralement une analyse post-incident avec des outils d’évaluation des vulnérabilités pour s’assurer que les actions nécessaires, telles que l’application des correctifs requis, ont été prises. Mais les responsables de la sécurité disent qu’ils analysent en permanence de toute façon pour découvrir les vulnérabilités ou les violations de la politique de sécurité.
Les analyses de vulnérabilité sont utilisées pour analyser les ordinateurs de bureau, les serveurs et les équipements réseau afin de vérifier leur conformité aux règles de sécurité des entreprises. Ensuite, les informations obtenues sont utilisées pour améliorer les mesures de sécurité. Certaines entreprises vérifient les lacunes dans plusieurs domaines clés, notamment les paramètres de configuration de la sécurité du système, les correctifs de sécurité, l’état de l’antivirus, l’état du pare-feu personnel et les vulnérabilités connues du secteur. D’autres ont personnalisé leurs mesures de sécurité pour aider à évaluer la conformité à leur politique d’utilisation acceptable. Le résultat est un instantané au niveau de la direction indiquant si les utilisateurs finaux suivent la politique. Ils peuvent également faire appel à un analyste externe toutes les quelques années pour effectuer une évaluation de la vulnérabilité.
L’Université de Géorgie exécute des analyses de vulnérabilité et dispose d’applications de gestion des vulnérabilités installées sur des serveurs sensibles et critiques. Les applications de gestion des vulnérabilités vérifient les configurations ou les paramètres sur les serveurs et génèrent une carte de rapport, qui couvre des domaines tels que le niveau et le correctif des systèmes d’exploitation, les ports vulnérables ouverts et les comptes d’utilisateurs.
Certaines entreprises procèdent régulièrement à des évaluations de vulnérabilité et à des analyses. Les analyses chez UPS sont effectuées par un fournisseur de services de sécurité gérés et peuvent être programmées à la demande en tant que suivi d’un événement. automatisation