עם למעלה מ-15,000 פגיעויות שכבר זוהו ב-2023 ו-25,227 ב-2022, ארגונים מסתמכים על המשאבים העומדים לרשותם. ארגונים מוצפים יותר ויותר מכמות הממצאים ומהמשימה המאתגרת של בדיקת נקודות תורפה כדי לקבוע באילו לטפל קודם בזמן ובצורה מושכלת היטב.
כתוצאה מכך, יש צורך בהבשלה של תהליכי ניהול פגיעות ומעבר מדירוגי חומרה מסורתיים. עם התפתחות היכולות של גורמי האיום המשפיעה רבות על עליית הניצול, חשוב לארגונים ליישם מסגרות ותקנים ברי קיימא לתעדוף בניהול פגיעות. מאמר זה מהווה את האיטרציה הראשונה של סדרת הודעות בנושא ניהול פגיעות, תוך התמקדות בחשיבות התעדוף ובהחלתו על ארגונים המשתמשים במגוון מושגים מומלצים.
תקציר מנהלים
צוותי אבטחת רשת משועבדים לעתים קרובות עם שחרור מתמשך של פגיעויות
נחשפו בפומבי או שזוהו כאפס ימים על ידי ספקים וחוקרי אבטחה. כל אחת מדרגות החומרה והניצול של כל אחת מהפגיעות הללו משויכת לציון Common Vulnerability Scoring System (CVSS) ולעיתים קרובות למספר Common Vulnerabilities and Exposures (CVE). חלקי המידע הללו הוכחו כמסורבלים ולעתים עלולים להוות חידה לארגונים בנוגע ליכולות ניהול הפגיעות שלהם. רק 2-7 אחוזים מכל הפגיעות שפורסמו מנוצלות אי פעם בטבע, ובמקרים רבים מתעלמים מהן עקב חוסר תעדוף.
הרעיון של סדר עדיפויות בניהול פגיעות הוא משמעותי שכן הוא עוזר לתמוך באסטרטגיות הפחתה ותיקון יעילות ברמות יכולות ארגוניות שונות. המתאם בין סדר העדיפויות לרמת היכולת של ארגונים מותאם באופן הדוק מכיוון שהוא יכול לעזור לצוותי אבטחה לתקשר בצורה יעילה עם מחזיקי עניין, לזהות ערך נכסים ולפתח מדיניות תיקון המסייעת להמשכיות של מערכות קריטיות לעסק. תעדוף הוא תהליך המשתרע על כל רמות היכולת ומאפשר לצוותי אבטחה להקצות כראוי משאבים לטיפול בפרצות הקשורות לרמות חומרה החורגות מתיאבון הסיכון של הארגון.
