- 漏洞扫描器, 行业警报, 渗透测试揭示了越来越多的漏洞, 目前还不清楚如何管理它们.
- 各组织都在努力对漏洞进行优先排序,以便进行补救, 因为有很多因素需要考虑, 包括脆弱性的威胁和潜在的补救方案本身.
我们的建议
关键的见解
- 补丁通常被视为解决漏洞的唯一方法, 但这些并不总是最合适的解决方案.
- 漏洞管理并不等于补丁管理. 它包括识别和评估脆弱性的风险, 然后选择一个修复选项,这不仅仅是打补丁.
- 解决这个问题的方法不止一种. 利用现有的安全控制来保护组织.
影响和结果
- 在这份蓝图的结尾, 您将创建一个完整的漏洞管理程序,该程序将允许您采取基于风险的方法进行漏洞补救.
- Assessing a vulnerability’s risk will enable you to properly determine the true urgency of a vulnerability within the context of your organization; this ensures you are not just blindly following what the tool is reporting.
- 基于风险的方法将允许您对发现的漏洞进行优先级排序,并对关键的和严重的漏洞立即采取行动, 同时允许您的标准修复周期处理中等到低漏洞.
- 用你的程序定义和开发, 现在需要配置漏洞扫描工具, 如果你没有现成的工具,也可以买一个.
- 最后, 而漏洞管理将有助于解决您的系统和应用程序, 如何知道外部恶意行为是否安全? 渗透测试将提供可视性, 使您能够堵塞这些洞,并获得一个风险面较小的环境.
会员推荐
在每一次信息技术体验之后, 我们要求我们的成员量化实时储蓄, 货币的影响, 和 我们的研究帮助他们实现了项目改进. 请参阅我们的顶级成员的经验为这个蓝图和 我们的客户想说什么.
8.5/10
总体影响
$10,539
平均美元救了
10
平均一天救了
客户端
经验
影响
美元了
天救了
新西兰统计局
指导实施
10/10
$8,679
10
密歇根州
车间
7/10
$12,399
10
南卡罗来纳州港口管理局
指导实施
10/10
$60,319
20
法律服务公司
指导实施
9/10
N/A
N/A
Trihealth
指导实施
9/10
N/A
N/A
STERIS公司
指导实施
8/10
$63,667
50
投资者银行
指导实施
10/10
N/A
N/A
科罗拉多州的德尔塔牙科计划
指导实施
10/10
N/A
29
特立尼达和多巴哥单位信托公司
指导实施
8/10
N/A
N/A
海洋喷雾蔓越莓
指导实施
8/10
N/A
N/A
现场工作坊:实施基于风险的漏洞管理
现场研讨会提供了一种简单的方法来加速您的项目. 如果你不能自己做这个项目, 一个引导实现是不够的, 我们提供低成本的现场交付我们的项目车间. 我们将带您完成项目的每个阶段,并确保您有一个路线图,以成功地完成项目.
模块1:识别漏洞来源
目的
- 建立对漏洞管理的共同理解, 定义角色, 范围, 以及漏洞检测的信息源.
关键好处
- 达到
对所有漏洞信息源的可见性和通用性
了解漏洞管理及其范围.
活动
输出
1.1
定义范围 & 组织安全程序的边界.
- IT安全计划的定义范围和边界
1.2
分配漏洞识别和补救的责任.
- 为成员组定义的角色和职责
1.3
开发第三方漏洞源的监测和审查程序.
- 审查第三方漏洞来源的程序
1.4
回顾事件管理和漏洞管理
- 漏洞管理程序与现有事件管理流程的结合
模块2:分类和优先排序
目的
- 我们将检查用于分类和分析漏洞的元素, 采用基于风险的方法确定优先级,并为补救方案做好准备.
关键好处
- 用于评估环境中的漏洞的一致的、文档化的过程.
活动
输出
2.1
评估已识别的漏洞.
- 调整工作流程,以反映您当前的流程
2.2
确定高级业务关键性.
- 业务操作的清单及其重要性和对业务的影响
2.3
确定高级数据分类.
- 调整工作流程,以反映您当前的流程
2.4
记录防御深度控件.
- 深度防御控件列表
2.5
建立一个分类方案以一致地评估影响.
- 漏洞管理风险评估工具格式化为您的组织
2.6
建立一个分类方案以一致地评估可能性.
- 漏洞管理风险评估工具格式化为您的组织
模块3:修补漏洞
目的
- 确定潜在的补救方案.
- 为每一种选择制定何时使用和何时避免的标准.
- 建立测试和补救的例外程序.
- 记录补救和验证的实施.
关键好处
- 识别并选择要使用的修复选项
- 确定当补丁或更新不可用时该做什么
- 安排和执行补救活动
- 持续改进计划
活动
输出
3.1
制定风险和补救措施.
- 按“何时使用”和“何时避免”列表分类的补救选项列表
单元4:度量和形式化
目的
- 您将决定应该度量什么来跟踪您的漏洞管理程序的成功.
- 如果您缺少扫描工具,这个阶段将帮助您确定工具的选择.
- 最后, 一旦您的漏洞管理程序进行得很好,渗透测试是一个很好的下一步.
关键好处
- 可以配置漏洞扫描工具以报告的指标大纲.
- 包括脆弱性管理的就职政策的发展.
- 为漏洞管理工具创建和部署RFP所需的条款.
- 对渗透测试有一定的了解, 如果有兴趣的话,还可以提供如何开始的指导.
活动
输出
4.1
用指标、kpi和csf度量您的程序.
- 要跟踪的相关度量的列表,以及kpi、csf和业务目标.
4.2
更新漏洞管理策略.
- 已完成漏洞管理策略
4.3
为漏洞扫描工具创建RFP.
- 已完成的可分发给供应商建议者的建议书(RFP)文件
4.4
为渗透测试创建一个RFP.
- 已完成的可分发给供应商建议者的建议书(RFP)文件
搜索代码: 77185
最后修改: 2021年4月16日