什么是风险调查及评估
风险查勘与评估是财产保险公司风险管理部或保险经纪/公估公司提供的一项服务内容,充分体现了立足于客户,服务于客户的服务理念。
风险查勘与评估是对企业总体或局部的生产活动的安全现状的安全评价,也就是动态地对企业在生产活动中存在的危险有害因素,评价危险有害因素导致事故的可能性和严重程度,提出合理可行的安全建议,从而保证企业生产经营的连续性、稳定性、有利于客户提高风险管理水平,增强风险防范意识。
通过与企业相关管理人员、技术人员的访谈并重点巡视了建筑物、办公室、储存库等重要部位,将专家的意见与专业的风险管理技术相结合,以期对该企业在生产、环境、设备及管理方面存在的潜在风险予以识别和评价,提出关于防损减灾的实际可行的,具有针对性的建议和措施。
企业会遇到的网络风险都有些什么
内部:信息安全培训不足/网络防范疏忽/内部员工偷盗/安全预算不足
外部:网络媒体攻击/数据绑架勒索/盗窃知识产权/外包商疏忽/供应商网络中断/政府监管罚金/破坏存储数据/用户信息泄密
-在不同的成长阶段企业面临的网络风险有所变化,所以理应弹性的去发现和识别风险。
-当一家企业经过四大所的审计或IT公司的风评后由保险公司承保签出保单,那在保险期内,这家企业的某个APP,或者某个网站进行了升级或维护,那是否风险有所变化?企业是否需要在正式上线前主动申报?保险公司又如何对申报的内容进行识别,如何进行调整?
哪些工具可以帮忙调查
金刚审计系统——腾讯出品
捉虫猎手——
聚安全-阿里巴巴
移动云测试中心-百度
梆梆加固-梆梆安全
N-Stalker-能够为您的Web应用程序清除该环境中大量常见的漏洞,包括跨站脚本(XSS)、SQL注入(SQLinjection)、缓存溢出(BufferOverflow)、参数篡改(ParameterTampering)等等。
Netsparker-是一款SQL注入扫描工具,提供了基本的漏洞检测功能。使用友好,灵活。
Websecurify-是一款开源的跨平台网站安全检查工具,能够帮助你精确的检测Web应用程序安全问题。
Wapiti-是Web应用程序漏洞检查工具。它具有“暗箱操作”扫描,即它不关心Web应用程序的源代码,但它会扫描网页的部署,寻找使其能够注入数据的脚本和格式。
Skipfish-Google公司发布的一款自动Web安全扫描程序,以降低用户的在线安全威胁。和Nikto和Nessus等其他开源扫描工具有相似的功能。
Exploit-Me-是一套Firefox的Web应用程序安全测试工具,轻量,易于使用。
OWASPWebScarabProject-一个用来分析使用HTTP和HTTPS协议的应用程序框架,通过记录它检测到的会话内容(请求和应答)来帮助安全专家发现潜在的程序漏洞。
X5s-Fiddler插件,用于辅助渗透测试人员发现跨站点脚本(XSS)漏洞。
知道创宇-钟馗之眼-一个检索网络空间节点的搜索引擎。通过后端的分布式爬虫引擎(无论谁家的搜索引擎都是这样)对全球节点的分析,对每个节点的所拥有的特征进行判别,从而获得设备类型、固件版本、分布地点、开放端口服务等信息。
Shodan-ComputerSearchEngine-一个用于帮助发现主要的互联网系统漏洞(包括路由器,交换机,工控系统等)的搜索引擎。它在圈子里就像google一样出名。它主要拦截从服务器到客户端的元数据来工作。
如何把工具采集到的信息进行评估并形成报告
借鉴传统的风评报告可能涉及的风险点,如供电系统/计算机系统/消防和安保系统/管理规章,并结合世界或国家强制或非强制标准,譬如GB-计算机信息系统安全保护等级划分准则,又如GBT-信息安全技术安全漏洞等级划分指南,或者GB.2-城市消防远程监控系统第2部分:通信服务器软件功能要求,根据企业的实际情况逐一核对并形成客观的报告。
譬如对最近某同业公会"扶贫公益跑"发文力推的安装咕咚APP版本7.16.1进行检测
-评估项Webview明文存储密码风险
-风险描述Android的Webview组件中默认打开了提示用户是否保存密码的功能,如果用户选择保存,用户名和密码将被明文存储到该应用目录databases/webview.db中。而本地明文存储的用户名和密码,不仅会被该应用随意浏览,其他恶意程序也可能通过提权或者root的方式访问该应用的webview数据库,从而窃取用户登录过的用户名信息以及密码。
-评估方案检测App应用的Webview组件中是否使用明文保存用户名及密码。
-评估结果该App应用的Webview组件中未设置关闭自动保存密码功能,用户名和密码可能被明文存储。
-建议措施1.通过设置WebView.getSettings().setSavePassword(false)关闭webview组件的保存密码功能。2.下架并停止下载早期有漏洞的所有版本APP。3.通知已安装客户可能遇到的风险。
——本文仅向长期从事一线风勘的风险工程师们致敬,请多北京白癜风医院白癜风怎么能治好
转载请注明:http://www.twoac.com/ysbj/6931.html
