Hvítbók um áhættumiðaða nálgun á forgangsröðun varnarleysis
Abstract
Með yfir 15,000 veikleika sem þegar hafa verið greindir árið 2023 og 25,227 árið 2022 eru stofnanir háðar þeim úrræðum sem þeim eru tiltæk. Stofnanir eru í auknum mæli gagnteknar af magni niðurstaðna og krefjandi verkefni að greina veikleika til að ákvarða hvaða á að taka fyrst á tímanlega og vel metna hátt.
Þar af leiðandi er þörf á að þróa varnarleysisstjórnunarferli og færa sig frá hefðbundnum alvarleikaeinkunnum. Þar sem þróun getu ógnaraðila hefur mikil áhrif á aukningu nýtingar, er mikilvægt fyrir stofnanir að innleiða sjálfbæra ramma og staðla um forgangsröðun í varnarleysisstjórnun. Þessi grein er fyrsta endurtekning á röð samskipta varðandi varnarleysisstjórnun, með áherslu á mikilvægi forgangsröðunar og notagildi hennar á stofnanir sem nota margvísleg ráðlagð hugtök.
Executive Summary
Netöryggisteymi eru oft kvíðin fyrir áframhaldandi losun veikleika sem eru
annað hvort birt opinberlega eða auðkennt sem núlldagar af söluaðilum og öryggisrannsakendum. Hvert af alvarleika- og hagnýtingarstigum þessara veikleika er tengt sameiginlegu varnarleysisstigakerfi (CVSS) skori og, oft, með Common Vulnerabilities and Exposures (CVE) númeri. Þessar upplýsingar hafa reynst fyrirferðarmiklar og geta stundum skapað vandamál fyrir stofnanir varðandi getu þeirra til að stjórna varnarleysi. Aðeins 2-7 prósent allra birtra veikleika eru alltaf nýttir í náttúrunni og í mörgum tilfellum eru þeir hunsaðir vegna skorts á forgangsröðun.
Hugmyndin um forgangsröðun í varnarleysisstjórnun er mikilvæg þar sem hún hjálpar til við að styðja við árangursríkar mótvægis- og úrbætur á mismunandi getustigum skipulagsheilda. Fylgnin milli forgangsröðunar og getustigs stofnana er nátengd þar sem það getur hjálpað öryggisteymum að eiga skilvirk samskipti við hagsmunaaðila, bera kennsl á verðmæti eigna og þróa úrbótastefnur sem stuðla að samfellu fyrirtækja mikilvægra kerfa. Forgangsröðun er ferli sem nær yfir öll getustig og gerir öryggisteymum kleift að úthluta fjármagni á réttan hátt til að takast á við veikleika sem tengjast alvarleikastigum sem fara yfir áhættuvilja fyrirtækisins.
