实施基于风险的漏洞管理
从修补木马上下来,开始降低风险吧!
- 漏洞扫描器, 行业警报, 渗透测试揭示了越来越多的漏洞, 目前还不清楚如何管理它们.
- 各组织都在努力对漏洞进行优先排序,以便进行补救, 因为有很多因素需要考虑, 包括脆弱性的威胁和潜在的补救方案本身.
我们的建议
关键的见解
- 补丁通常被视为解决漏洞的唯一方法, 但这些并不总是最合适的解决方案.
- 漏洞管理并不等于补丁管理. 它包括识别和评估脆弱性的风险, 然后选择一个修复选项,这不仅仅是打补丁.
- 解决这个问题的方法不止一种. 利用现有的安全控制来保护组织.
影响和结果
- 在这份蓝图的结尾, 您将创建一个完整的漏洞管理程序,该程序将允许您采取基于风险的方法进行漏洞补救.
- Assessing a vulnerability’s risk will enable you to properly determine the true urgency of a vulnerability within the context of your organization; this ensures you are not just blindly following what the tool is reporting.
- 基于风险的方法将允许您对发现的漏洞进行优先级排序,并对关键的和严重的漏洞立即采取行动, 同时允许您的标准修复周期处理中等到低漏洞.
- 用你的程序定义和开发, 现在需要配置漏洞扫描工具, 如果你没有现成的工具,也可以买一个.
- 最后, 而漏洞管理将有助于解决您的系统和应用程序, 如何知道外部恶意行为是否安全? 渗透测试将提供可视性, 使您能够堵塞这些洞,并获得一个风险面较小的环境.
实施基于风险的脆弱性管理研究 & 工具
从这里开始——阅读执行概要
阅读我们的简要执行简报,了解为什么你应该设计和实施一个漏洞管理程序, 回顾信息技术的方法, 了解我们可以支持你完成这个项目的四种方式.
3. 修复漏洞
解决基于的漏洞
他们的风险水平. Patching isn't the only risk mitigation action; some
系统不能简单地修补,但是其他选项是可用的.
将风险降至中/低水平
使用您的常规操作流程来处理后者.
会员推荐
在每一次信息技术体验之后, 我们要求我们的成员量化实时储蓄, 货币的影响, 和 我们的研究帮助他们实现了项目改进. 请参阅我们的顶级成员的经验为这个蓝图和 我们的客户想说什么.
8.5/10
总体影响
$10,539
平均美元救了
10
平均一天救了
客户端
经验
影响
美元了
天救了
新西兰统计局
指导实施
10/10
$8,679
10
密歇根州
车间
7/10
$12,399
10
南卡罗来纳州港口管理局
指导实施
10/10
$60,319
20
法律服务公司
指导实施
9/10
N/A
N/A
Trihealth
指导实施
9/10
N/A
N/A
STERIS公司
指导实施
8/10
$63,667
50
投资者银行
指导实施
10/10
N/A
N/A
科罗拉多州的德尔塔牙科计划
指导实施
10/10
N/A
29
特立尼达和多巴哥单位信托公司
指导实施
8/10
N/A
N/A
海洋喷雾蔓越莓
指导实施
8/10
N/A
N/A
现场工作坊:实施基于风险的漏洞管理
现场研讨会提供了一种简单的方法来加速您的项目. 如果你不能自己做这个项目, 一个引导实现是不够的, 我们提供低成本的现场交付我们的项目车间. 我们将带您完成项目的每个阶段,并确保您有一个路线图,以成功地完成项目.
模块1:识别漏洞来源
目的
- 建立对漏洞管理的共同理解, 定义角色, 范围, 以及漏洞检测的信息源.
关键好处
- 达到
对所有漏洞信息源的可见性和通用性
了解漏洞管理及其范围.
活动
输出
定义范围 & 组织安全程序的边界.
- IT安全计划的定义范围和边界
分配漏洞识别和补救的责任.
- 为成员组定义的角色和职责
开发第三方漏洞源的监测和审查程序.
- 审查第三方漏洞来源的程序
回顾事件管理和漏洞管理
- 漏洞管理程序与现有事件管理流程的结合
模块2:分类和优先排序
目的
- 我们将检查用于分类和分析漏洞的元素, 采用基于风险的方法确定优先级,并为补救方案做好准备.
关键好处
- 用于评估环境中的漏洞的一致的、文档化的过程.
活动
输出
评估已识别的漏洞.
- 调整工作流程,以反映您当前的流程
确定高级业务关键性.
- 业务操作的清单及其重要性和对业务的影响
确定高级数据分类.
- 调整工作流程,以反映您当前的流程
记录防御深度控件.
- 深度防御控件列表
建立一个分类方案以一致地评估影响.
- 漏洞管理风险评估工具格式化为您的组织
建立一个分类方案以一致地评估可能性.
- 漏洞管理风险评估工具格式化为您的组织
模块3:修补漏洞
目的
- 确定潜在的补救方案.
- 为每一种选择制定何时使用和何时避免的标准.
- 建立测试和补救的例外程序.
- 记录补救和验证的实施.
关键好处
- 识别并选择要使用的修复选项
- 确定当补丁或更新不可用时该做什么
- 安排和执行补救活动
- 持续改进计划
活动
输出
制定风险和补救措施.
- 按“何时使用”和“何时避免”列表分类的补救选项列表
单元4:度量和形式化
目的
- 您将决定应该度量什么来跟踪您的漏洞管理程序的成功.
- 如果您缺少扫描工具,这个阶段将帮助您确定工具的选择.
- 最后, 一旦您的漏洞管理程序进行得很好,渗透测试是一个很好的下一步.
关键好处
- 可以配置漏洞扫描工具以报告的指标大纲.
- 包括脆弱性管理的就职政策的发展.
- 为漏洞管理工具创建和部署RFP所需的条款.
- 对渗透测试有一定的了解, 如果有兴趣的话,还可以提供如何开始的指导.
活动
输出
用指标、kpi和csf度量您的程序.
- 要跟踪的相关度量的列表,以及kpi、csf和业务目标.
更新漏洞管理策略.
- 已完成漏洞管理策略
为漏洞扫描工具创建RFP.
- 已完成的可分发给供应商建议者的建议书(RFP)文件
为渗透测试创建一个RFP.
- 已完成的可分发给供应商建议者的建议书(RFP)文件
关于信息技术
信息技术研究集团是世界上发展最快的信息技术研究和咨询公司, 为超过30人服务,000年IT专业人员.
我们提供公正和高度相关的研究,以帮助cio和IT领导者制定战略, 及时的, 和消息灵通的决策. 我们与IT团队紧密合作,为他们提供所需的一切, 从可操作的工具到分析师指导, 确保他们为组织提供可衡量的结果.
什么是蓝图?
蓝图被设计成路线图, 包含解决IT问题所需的方法、工具和模板.
每个蓝图都可以附带一个指导实施,该实现可以让您访问我们的世界级分析师,以帮助您完成项目.
需要额外的帮助?
尝试我们的引导实现
在这4个阶段的咨询过程中获得您需要的帮助. 您将获得与我们的研究人员的8个接触点,这些接触点都包含在您的会员名单中.
指导实现#1 -识别漏洞来源
- 呼叫#1 -范围需求、目标和具体的挑战.
- 呼叫#2 -讨论当前状态和漏洞来源.
指导实现#2 -漏洞分类和分配优先级
- 呼叫#1 -识别分类方法和业务关键性.
- 电话#2 -回顾当前的深入防御并讨论风险评估.
引导实现#3 -修补漏洞
- 电话#1 -讨论补救方案和时间安排.
- 号召#2 -审查发布和变更管理以及持续改进.
指导实施#4 -测量和形式化
- 调用#1 -确定指标、kpi和csf.
- 调用#2 -审查漏洞管理策略.
贡献者
- 两位来自制造业的匿名贡献者
- 一位来自美国政府机构的匿名捐助者
- 两位来自金融界的匿名捐赠者
- 一位来自医疗技术行业的匿名投稿人
- 两个匿名的高等教育捐赠者
- 1名来自加拿大政府机构的匿名投稿人
- 七个匿名者,从咨询电话中收集的信息
威胁情报 & 事件响应图
搜索代码: 77185
最后修改: 2021年4月16日