Abstrakcja
Mając ponad 15,000 2023 luk zidentyfikowanych już w 25,227 r. i 2022 XNUMX w XNUMX r., organizacje są uzależnione od zasobów, którymi dysponują. Organizacje są coraz bardziej przytłoczone ilością ustaleń i trudnym zadaniem triażowania luk w celu ustalenia, które z nich należy rozwiązać w pierwszej kolejności w odpowiednim czasie i w sposób rozważny.
W rezultacie istnieje potrzeba dojrzewania procesów zarządzania podatnościami i odejścia od tradycyjnych ocen powagi. Wraz z ewolucją możliwości aktorów zagrożeń, które w znacznym stopniu wpływają na wzrost eksploatacji, ważne jest, aby organizacje wdrażały zrównoważone ramy i standardy priorytetyzacji w zarządzaniu podatnościami. Niniejszy dokument stanowi pierwszą iterację serii komunikatów dotyczących zarządzania podatnościami, skupiając się na znaczeniu priorytetyzacji i jej stosowalności w organizacjach wykorzystujących różnorodne zalecane koncepcje.
Streszczenie
Zespoły ds. bezpieczeństwa sieci często mają do czynienia z ciągłym ujawnianiem luk w zabezpieczeniach, które są
albo publicznie ujawnione, albo zidentyfikowane jako zero-day przez dostawców i badaczy bezpieczeństwa. Każdy z tych poziomów powagi i podatności na wykorzystanie luk jest powiązany z wynikiem Common Vulnerability Scoring System (CVSS), a często z numerem Common Vulnerabilities and Exposures (CVE). Te pasma informacji okazały się uciążliwe i czasami mogą stanowić zagadkę dla organizacji w zakresie ich możliwości zarządzania lukami. Tylko 2-7 procent wszystkich opublikowanych luk jest kiedykolwiek wykorzystywanych w środowisku naturalnym i w wielu przypadkach są ignorowane z powodu braku priorytetyzacji.
Koncepcja priorytetyzacji w zarządzaniu podatnościami jest istotna, ponieważ pomaga wspierać skuteczne strategie łagodzenia i naprawy na różnych poziomach zdolności organizacyjnej. Korelacja między priorytetyzacją a poziomem zdolności organizacji jest ściśle powiązana, ponieważ może pomóc zespołom ds. bezpieczeństwa skutecznie komunikować się z interesariuszami, identyfikować wartość aktywów i opracowywać zasady naprawy sprzyjające ciągłości działania systemów krytycznych dla biznesu. Priorytetyzacja to proces obejmujący wszystkie poziomy zdolności i umożliwiający zespołom ds. bezpieczeństwa właściwe przydzielanie zasobów w celu rozwiązania luk związanych z poziomami powagi przekraczającymi apetyt organizacji na ryzyko.
Biała księga podejścia opartego na ryzyku ISAC Health FNL
Rozmiar: 4.2 MB Format: PDF
