Mô tả
Bắt đầu với việc xác định nguồn gốc và giám sát liên tục.
Security Scorecard quét định kỳ toàn bộ không gian web IPv4 một cách không xâm phạm. Tài sản dựa trên đám mây được quét mỗi hai giờ. Các tài sản khác được quét ở tốc độ chậm hơn. Ngoài ra, chúng tôi sử dụng các bản ghi hệ thống tên miền (DNS). Thông tin đăng ký tên miền, chứng chỉ bảo mật lớp vận chuyển (TLS). Và các nguồn dữ liệu khác để tìm các miền và miền con. Có liên quan thuộc sở hữu của một tổ chức.
Đáng chú ý, quy trình xác định nguồn gốc nhận dạng và loại bỏ các tài sản chung có nguy cơ thấp khỏi hệ thống xếp hạng. Chẳng hạn như mạng phân phối nội dung (CDN) và các tên miền không hoạt động. Các hoạt động quét này tiết lộ sự có thể xuất hiện của hơn 40.000 lỗ hổng bảo mật và lỗ hổng thông tin (CVE) phổ biến khác nhau. Các cổng mở, mã hóa yếu và hơn 100 loại khuyết điểm an ninh mạng có mức độ nghiêm trọng khác nhau. Ngoài ra, Security Scorecard vận hành mạng lưới sinkhole lớn nhất trên toàn thế giới. Để thu thập tín hiệu malware phát ra. Từ các máy chủ hoặc máy tính người dùng cuối của một tổ chức.
Tính toán điểm số
Total và Factor Scores được báo cáo trên một thang điểm từ 0 đến 100 với một xếp hạng bằng chữ (grade) đi kèm. Total Score cho biết mức đánh giá tổng thể về tình trạng bảo mật mạng. Factor Score là một điểm được gán cho từng tiểu mục khác nhau.
Những điểm số này được tính toán từ:
- Mức độ nghiêm trọng của các phát hiện
- Điểm số z-score liên quan của chúng.
Để đạt được điều đó, chúng tôi bắt đầu từ mức độ của loại vấn đề. Mỗi loại vấn đề có mức độ nghiêm trọng (cao, trung bình, thấp). Được gán bởi các cơ quan bên ngoài. Chẳng hạn như Hệ thống Điểm Công bằng Các Lỗ hổng Phổ biến trong Ngành (CVSS). Hoặc các chuyên gia chuyên môn. Các loại vấn đề được nhóm lại theo chủ đề thành các yếu tố. Ví dụ: Bảo mật Mạng, Bảo mật Ứng dụng, v.v..
Chúng tôi tính toán một điểm số cho mỗi yếu tố. Các điểm số yếu tố được tính bằng cách: “Nhân z-score cho mỗi loại vấn đề quan sát được trong yếu tố bằng trọng số vấn đề. Dựa trên mức độ nghiêm trọng được gán, tổng các giá trị này, tỉ lệ kết quả và trừ tổng trọng số từ 100. Đây là điểm số tối đa”.
Sau khi chúng tôi có điểm số cho mỗi yếu tố, chúng tôi có thể tính toán Total Score. Total Score được tính bằng trung bình có trọng số của các Factor Scores. Trọng số yếu tố đã được xác định bằng phương pháp dựa trên dữ liệu được mô tả trong phần Xác nhận bên dưới.
Cải thiện điểm số thông qua việc khắc phục lỗi
Các điểm số được cung cấp bởi hệ thống của chúng tôi không phải là vĩnh viễn. Việc sửa các vấn đề được tìm thấy (khắc phục) sẽ cải thiện điểm số. Đáng chú ý, việc khắc phục một phần trăm cụ thể của các vấn đề với mức độ cụ thể (thay vì số lượng tuyệt đối). Sẽ tăng điểm số một số điểm cố định.
Ví dụ, nếu có 200 vấn đề của một loại cụ thể, việc sửa chữa, 10% của chúng (20 vấn đề) sẽ nâng điểm số lên X điểm. Nếu 10% của 180 vấn đề còn lại được giải quyết (18 vấn đề). Điểm số sẽ được nâng lên thêm X điểm nữa.
Điều quan trọng là việc giảm tương đối, chứ không phải tuyệt đối. Số lượng vấn đề sẽ tăng điểm số một số lượng cụ thể.
Xác nhận điểm số
Các điểm số về an ninh mạng nên tương quan với rủi ro an ninh mạng. Xếp hạng bảo mật Security Scorecard sử dụng học máy để điều chỉnh trọng số yếu tố. Sao cho tổng điểm số tương quan tối ưu với rủi ro tương đối của việc vi phạm.
Phân tích các điểm số của 100.000 tổ chức trong suốt ba năm. Bao gồm 2.200 việc vi phạm, chúng tôi đã phát hiện rằng các tổ chức có điểm số thấp (F). Có khả năng gặp phải việc vi phạm gấp 7,7 lần so với các tổ chức có điểm số cao (A).
Chúng tôi tin rằng hiệu suất này là vượt trội trong ngành.
Đây là 10 yếu tố mà xếp hạng bảo mật ScoreCard đánh điểm:
- Network Security – Những port được mở (như SMB và RDP), chứng nhận SSL kém bảo mật. Hoặc cấu hình sai, những lỗ hổng database
- Application Security – Những lỗ hổng, cấu hình sai và thực hành tốt nhất cho các ứng dụng web công khai đã được phát hiện.
- IP Reputation – Đào sâu vào hệ thống nhằm thu thập hàng triệu tín hiệu của phần mềm độc hại. Và ánh xạ địa chỉ IP bị nhiễm với các tổ chức bị ảnh hưởng.
- Endpoint Security – Khả năng khai thác của các thiết bị đầu cuối: máy tính xách tay, máy tính để bàn, thiết bị di động và thiết bị BYCD trong hệ thống mạng.
- Patching Cadence – Tần suất cập nhật cho các dịch vụ, phần mềm và phần cứng đã xác định của tổ chức.
- DNS Health – Cấu hình sai như Open Resolvers và cấu hình đề xuất cho DNSSEC, SPF, DKIM
- Hacker Chatter – Các cuộc thảo luận về tổ chức mục tiêu và địa chỉ IP trong các mạng web ngầm và dark
- Information Leak – Thông tin đăng nhập bị tiết lộ do vi phạm hoặc rò rỉ dữ liệu, keylogger, Pastebin, kết xuất cơ sở dũ liệu và các kho lưu trữ thông tin khác.
- Social Engineering – Tài khoản công ty trong các mạng xã hội, tài khoản tài chính và các danh mục tiếp thị.
- Cubit Scores – Các sự cố cấu hình và bảo mật quan trọng. Chẳng hạn như Bảng điều khiển quản trị bị lộ.