最近,VAPT 已成為工業安全標準,可確保您公司的 IT 基礎架構安全且免受網路攻擊。儘管它看起來像是一個單一的過程,但事實並非如此。 VA 是漏洞評估的縮寫,通常是一個用於發現系統中的安全漏洞和漏洞的自動化過程。另一方面,PT(滲透測試的縮寫)比 VA 更進一步。透過嘗試利用每個漏洞,它有助於了解每個漏洞的影響。
如今以通過他們的評估。每次評估的 VAPT 範圍可能會有所不同,具體取決於行業類型以及您需要遵守的標準/法規。本文討論了要求將 VAPT 作為其流程一部分的此類標準/法規。讓我們開始吧。
1.HIPAA(適用於醫療保健公司/應用程式)
HIPAA 代表健康保險流通和 印尼電報數據 責任法案,它透過執行所需的安全控制來實現機密性、完整性和可用性,從而幫助資料安全和保護病患健康資訊。
根據官方網站介紹,
“HIPAA 是一項聯邦法律,要求制定國家標準,以保護敏感的患者健康資訊在未經患者同意或不知情的情況下不會被披露。”
儘管 HIPAA 沒有在該法案中明確提及 VAPT,但它確實需要進行風險分析評估,該評估本質上涉及所涵蓋的實體來測試其安全控制。此外,NIST 還發布了針對 HIPAA 的特別建議,其中指出:
「在合理且適當的情況下,對現有安全控制的有效性進行可信的滲透測試。這驗證了您是否面臨實際漏洞。
2. PCI DSS(針對金融組織/應用程式)
支付卡產業資料安全標準 (PCI DSS) 是所有儲存、處理和傳輸持卡人資料的商家必須遵循的安全標準。它確保持卡人的資料安全,免受不良行為者的侵害。您可以按詳細指南進行操作。
儘管 PCI DSS 已存在多年,但他們最近已將滲透測試納入該流程。 PCI DSS 3.2 區分了漏洞掃描(要求 11.2)和滲透測試(要求 11.3),這兩者都是 PCI DSS 合規性所必需的。測試範圍包括所有可能影響持卡人資料環境 (CDE) 安全性的內容,並應檢查是否有漏洞。如果系統與 CDE 完全隔離且不影響 CDE 的完整性,那麼它可以作為範圍外項目包含在內。
3. 印度央行《初級(城市)合作銀行(UCBS)基本網路安全框架指南》
隨著 IT 革命,銀行的日常營運越來越依賴 IT。結果,針對包括銀行在內的金融部門的網路攻擊不斷增加。這就需要製定強有力的網路安全策略來保護其 IT 基礎架構免受此類網路攻擊。因此,它引導印度儲備銀行(RBI)創建了一個所有城市合作銀行(UCB)都需要遵守的基本網路安全框架。
儘管該框架沒有具體定義 VAPT 的需求作為流程的一部分,但它需要識別 IT 系統和流程中的薄弱/易受攻擊的領域,而這通常可以透過 VAPT 來實現。根據印度儲備銀行的指導方針:
“識別 IT 系統和流程中的薄弱/脆弱區域。建立合適的網路安全系統來解決這些問題。應保留整個過程的適當記錄,以便進行監督評估。
4. SEBI 針對股票經紀人/存管參與者的網路安全和網路彈性框架
與印度儲備銀行一樣,印度證券交易委員會(SEBI)也發以確保實體擁有強大的網路安全框架。不用說,所有在 SEBI 註冊的股票經紀人和存託參與者都必須遵守此框架。
此框架在附件一中特別提到了進行漏洞評估和滲透測試(VAPT)的必要性。它要求所有股票經紀人和存管機構定期對暴露在網路上的 IT 基礎設施進行漏洞評估。
關於滲透測試,該框架指出,
「擁有可透過網路公開使用的系 免費圖像編輯器的主要功能 統的股票經紀人/存管參與者還應進行滲透測試,至少每年一次,以便透過模擬對其係統的實際攻擊來深入評估系統的安全狀況以及暴露於互聯網的網絡。
不僅如此,它還提到在引入新系統之前需要進行VAPT。
此外,股票經紀人/存管參與者應在調試可透過網路存取的新系統之前執行漏洞掃描並進行滲透測試。
5. 建構 SOC 的工具(需要 VAPT)
安全營運中心 (SOC) 已成為當今網路防禦戰略的一個組成部分。它們可幫助即時監控和預防威脅。為了建立有效且高效能的 SOC,需要選擇正確的工具和合適的人員組合。在工具方面,建議投資漏洞掃描程式和滲透測試工具,使安全分析師能夠尋找安全漏洞並發現組織網路內的未知缺陷。
6. VAPT 符合 ISO 27001
漏洞評估和滲透 ws資料庫 測試 (VAPT)是 ISO/IEC 27001:2013 資訊安全管理系統 (ISMS) 的重要組成部分。制目標 A12.6(技術漏洞管理)指出,
“應及時獲取有關正在使用的信息系統的技術漏洞的信息,評估組織對此類漏洞的暴露程度,並採取適當的措施來解決相關風險。”
清盤
總之,執行VAPT已經或將成為許多標準和法規的重要組成部分。如果您還在猶豫是否應該這樣做。嗯,你應該。定期 VAPT 將幫助您的組織發現 IT 基礎架構中的安全缺陷,從而保護其免受網路破壞。