Sažetak
S više od 15,000 2023 ranjivosti koje su već identificirane 25,227. i 2022 XNUMX XNUMX., organizacije se oslanjaju na resurse koji su im dostupni. Organizacije su sve više opterećene količinom nalaza i izazovnim zadatkom trijaže ranjivosti kako bi se odredilo koje treba prvo riješiti na pravovremen i dobro procijenjen način.
Kao rezultat toga, postoji potreba za sazrijevanjem procesa upravljanja ranjivostima i odmakom od tradicionalnih ocjena ozbiljnosti. Uz evoluciju sposobnosti aktera prijetnji koje uvelike utječu na porast iskorištavanja, važno je da organizacije implementiraju održive okvire i standarde za određivanje prioriteta u upravljanju ranjivostima. Ovaj dokument predstavlja prvu iteraciju niza komunikacija u vezi s upravljanjem ranjivostima, fokusirajući se na važnost određivanja prioriteta i njegovu primjenjivost na organizacije koje koriste niz preporučenih koncepata.
Sažetak
Timovi za mrežnu sigurnost često su opterećeni stalnim objavljivanjem ranjivosti koje su
ili javno objavljeni ili identificirani kao zero-days od strane dobavljača i sigurnosnih istraživača. Svaka od ovih ranjivosti ozbiljnosti i razina mogućnosti iskorištavanja povezana je s ocjenom Common Vulnerability Scoring System (CVSS) i, često, s brojem Common Vulnerabilities and Exposures (CVE). Ove količine informacija pokazale su se glomaznima i ponekad mogu predstavljati zagonetku organizacijama u vezi s njihovim sposobnostima upravljanja ranjivostima. Samo 2-7 posto svih objavljenih ranjivosti ikada se iskorištava u prirodi i, u mnogim slučajevima, zanemaruje se zbog nedostatka prioriteta.
Koncept određivanja prioriteta u upravljanju ranjivostima značajan je jer pomaže u podržavanju učinkovitih strategija ublažavanja i popravljanja na različitim razinama organizacijskih sposobnosti. Korelacija između određivanja prioriteta i razine sposobnosti organizacije blisko je usklađena jer može pomoći sigurnosnim timovima da učinkovito komuniciraju s dionicima, identificiraju vrijednost imovine i razviju politike sanacije koje doprinose kontinuitetu poslovno kritičnih sustava. Određivanje prioriteta je proces koji obuhvaća sve razine sposobnosti i omogućuje sigurnosnim timovima da pravilno rasporede resurse za rješavanje ranjivosti povezanih s razinama ozbiljnosti koje premašuju sklonost organizacije riziku.
Health ISAC Pristup temeljen na riziku Bijela knjiga FNL
Veličina: 4.2 MB format: PDF
