获得即时访问
这个蓝图

安全图标

实施基于风险的漏洞管理

从修补木马上下来,开始降低风险吧!

  • 漏洞扫描器, 行业警报, 渗透测试揭示了越来越多的漏洞, 目前还不清楚如何管理它们.
  • 各组织都在努力对漏洞进行优先排序,以便进行补救, 因为有很多因素需要考虑, 包括脆弱性的威胁和潜在的补救方案本身.

我们的建议

关键的见解

  • 补丁通常被视为解决漏洞的唯一方法, 但这些并不总是最合适的解决方案.
  • 漏洞管理并不等于补丁管理. 它包括识别和评估脆弱性的风险, 然后选择一个修复选项,这不仅仅是打补丁.
  • 解决这个问题的方法不止一种. 利用现有的安全控制来保护组织.

影响和结果

  • 在这份蓝图的结尾, 您将创建一个完整的漏洞管理程序,该程序将允许您采取基于风险的方法进行漏洞补救.
  • Assessing a vulnerability’s risk will enable you to properly determine the true urgency of a vulnerability within the context of your organization; this ensures you are not just blindly following what the tool is reporting.
  • 基于风险的方法将允许您对发现的漏洞进行优先级排序,并对关键的和严重的漏洞立即采取行动, 同时允许您的标准修复周期处理中等到低漏洞.
  • 用你的程序定义和开发, 现在需要配置漏洞扫描工具, 如果你没有现成的工具,也可以买一个.
  • 最后, 而漏洞管理将有助于解决您的系统和应用程序, 如何知道外部恶意行为是否安全? 渗透测试将提供可视性, 使您能够堵塞这些洞,并获得一个风险面较小的环境.

实施基于风险的脆弱性管理研究 & 工具

从这里开始——阅读执行概要

阅读我们的简要执行简报,了解为什么你应该设计和实施一个漏洞管理程序, 回顾信息技术的方法, 了解我们可以支持你完成这个项目的四种方式.

1. 识别脆弱性来源

通过创建漏洞管理团队开始项目,并确定如何通过扫描仪识别漏洞, 渗透测试, 第三方来源, 和事件.

2. 对漏洞进行分类并分配优先级

确定如何根据内在质量对漏洞进行分类和评估,以及它们可能如何损害业务功能和数据敏感性.

3. 修复漏洞

解决基于的漏洞 他们的风险水平. Patching isn't the only risk mitigation action; some 系统不能简单地修补,但是其他选项是可用的. 将风险降至中/低水平 使用您的常规操作流程来处理后者.

4. 测量和形式化

通过开发指标和形式化策略来不断地发展项目.


会员推荐

在每一次信息技术体验之后, 我们要求我们的成员量化实时储蓄, 货币的影响, 和 我们的研究帮助他们实现了项目改进. 请参阅我们的顶级成员的经验为这个蓝图和 我们的客户想说什么.

8.5/10


总体影响

$10,539


平均美元救了

10


平均一天救了

客户端

经验

影响

美元了

天救了

新西兰统计局

指导实施

10/10

$8,679

10

密歇根州

车间

7/10

$12,399

10

南卡罗来纳州港口管理局

指导实施

10/10

$60,319

20

法律服务公司

指导实施

9/10

N/A

N/A

Trihealth

指导实施

9/10

N/A

N/A

STERIS公司

指导实施

8/10

$63,667

50

投资者银行

指导实施

10/10

N/A

N/A

科罗拉多州的德尔塔牙科计划

指导实施

10/10

N/A

29

特立尼达和多巴哥单位信托公司

指导实施

8/10

N/A

N/A

海洋喷雾蔓越莓

指导实施

8/10

N/A

N/A


现场工作坊:实施基于风险的漏洞管理

现场研讨会提供了一种简单的方法来加速您的项目. 如果你不能自己做这个项目, 一个引导实现是不够的, 我们提供低成本的现场交付我们的项目车间. 我们将带您完成项目的每个阶段,并确保您有一个路线图,以成功地完成项目.

模块1:识别漏洞来源

目的

  • 建立对漏洞管理的共同理解, 定义角色, 范围, 以及漏洞检测的信息源.

关键好处

  • 达到 对所有漏洞信息源的可见性和通用性 了解漏洞管理及其范围.

活动

输出

1.1

定义范围 & 组织安全程序的边界.

  • IT安全计划的定义范围和边界
1.2

分配漏洞识别和补救的责任.

  • 为成员组定义的角色和职责
1.3

开发第三方漏洞源的监测和审查程序.

  • 审查第三方漏洞来源的程序
1.4

回顾事件管理和漏洞管理

  • 漏洞管理程序与现有事件管理流程的结合

模块2:分类和优先排序

目的

  • 我们将检查用于分类和分析漏洞的元素, 采用基于风险的方法确定优先级,并为补救方案做好准备.

关键好处

  • 用于评估环境中的漏洞的一致的、文档化的过程.

活动

输出

2.1

评估已识别的漏洞.

  • 调整工作流程,以反映您当前的流程
2.2

确定高级业务关键性.

  • 业务操作的清单及其重要性和对业务的影响
2.3

确定高级数据分类.

  • 调整工作流程,以反映您当前的流程
2.4

记录防御深度控件.

  • 深度防御控件列表
2.5

建立一个分类方案以一致地评估影响.

  • 漏洞管理风险评估工具格式化为您的组织
2.6

建立一个分类方案以一致地评估可能性.

  • 漏洞管理风险评估工具格式化为您的组织

模块3:修补漏洞

目的

  • 确定潜在的补救方案.
  • 为每一种选择制定何时使用和何时避免的标准.
  • 建立测试和补救的例外程序.
  • 记录补救和验证的实施.

关键好处

  • 识别并选择要使用的修复选项
  • 确定当补丁或更新不可用时该做什么
  • 安排和执行补救活动
  • 持续改进计划

活动

输出

3.1

制定风险和补救措施.

  • 按“何时使用”和“何时避免”列表分类的补救选项列表

单元4:度量和形式化

目的

  • 您将决定应该度量什么来跟踪您的漏洞管理程序的成功.
  • 如果您缺少扫描工具,这个阶段将帮助您确定工具的选择.
  • 最后, 一旦您的漏洞管理程序进行得很好,渗透测试是一个很好的下一步.

关键好处

  • 可以配置漏洞扫描工具以报告的指标大纲.
  • 包括脆弱性管理的就职政策的发展.
  • 为漏洞管理工具创建和部署RFP所需的条款.
  • 对渗透测试有一定的了解, 如果有兴趣的话,还可以提供如何开始的指导.

活动

输出

4.1

用指标、kpi和csf度量您的程序.

  • 要跟踪的相关度量的列表,以及kpi、csf和业务目标.
4.2

更新漏洞管理策略.

  • 已完成漏洞管理策略
4.3

为漏洞扫描工具创建RFP.

  • 已完成的可分发给供应商建议者的建议书(RFP)文件
4.4

为渗透测试创建一个RFP.

  • 已完成的可分发给供应商建议者的建议书(RFP)文件

关于信息技术

信息技术研究集团是世界上发展最快的信息技术研究和咨询公司, 为超过30人服务,000年IT专业人员.

我们提供公正和高度相关的研究,以帮助cio和IT领导者制定战略, 及时的, 和消息灵通的决策. 我们与IT团队紧密合作,为他们提供所需的一切, 从可操作的工具到分析师指导, 确保他们为组织提供可衡量的结果.

会员等级

8.5/10
总体影响

$10,539
平均美元救了

10
平均一天救了

在每一次信息技术体验之后, 我们要求我们的成员量化实时储蓄, 货币的影响, 我们的研究帮助他们实现了项目改进.

读一读我们的会员在说什么

什么是蓝图?

蓝图被设计成路线图, 包含解决IT问题所需的方法、工具和模板.

每个蓝图都可以附带一个指导实施,该实现可以让您访问我们的世界级分析师,以帮助您完成项目.

从修补木马上下来,开始降低风险吧!

需要额外的帮助?
尝试我们的引导实现

在这4个阶段的咨询过程中获得您需要的帮助. 您将获得与我们的研究人员的8个接触点,这些接触点都包含在您的会员名单中.

指导实现#1 -识别漏洞来源
  • 呼叫#1 -范围需求、目标和具体的挑战.
  • 呼叫#2 -讨论当前状态和漏洞来源.

指导实现#2 -漏洞分类和分配优先级
  • 呼叫#1 -识别分类方法和业务关键性.
  • 电话#2 -回顾当前的深入防御并讨论风险评估.

引导实现#3 -修补漏洞
  • 电话#1 -讨论补救方案和时间安排.
  • 号召#2 -审查发布和变更管理以及持续改进.

指导实施#4 -测量和形式化
  • 调用#1 -确定指标、kpi和csf.
  • 调用#2 -审查漏洞管理策略.

贡献者

  • 两位来自制造业的匿名贡献者
  • 一位来自美国政府机构的匿名捐助者
  • 两位来自金融界的匿名捐赠者
  • 一位来自医疗技术行业的匿名投稿人
  • 两个匿名的高等教育捐赠者
  • 1名来自加拿大政府机构的匿名投稿人
  • 七个匿名者,从咨询电话中收集的信息
访问我们的 COVID-19资源中心 和我们的 成本管理中心
超过100名分析师正等着接听您的电话: 1- x2019