abstract
Sa mahigit 15,000 na mga kahinaan na natukoy na noong 2023 at 25,227 noong 2022, ang mga organisasyon ay umaasa sa mga mapagkukunang magagamit sa kanila. Ang mga organisasyon ay lalong nalulula sa dami ng mga natuklasan at ang mapaghamong gawain ng pagsubok sa mga kahinaan upang matukoy kung alin ang unang tutugunan sa isang napapanahong paraan at mahusay na hinuhusgahan.
Bilang resulta, may pangangailangan para sa pagpapahinog ng mga proseso ng pamamahala ng kahinaan at pag-alis mula sa tradisyonal na mga rating ng kalubhaan. Sa ebolusyon ng mga kakayahan ng aktor ng pagbabanta na lubos na nakakaimpluwensya sa pagtaas ng pagsasamantala, mahalaga para sa mga organisasyon na ipatupad ang mga napapanatiling balangkas at pamantayan para sa pagbibigay-priyoridad sa pamamahala ng kahinaan. Ang papel na ito ay nakatayo bilang ang unang pag-ulit ng isang serye ng mga komunikasyon tungkol sa pamamahala ng kahinaan, na tumutuon sa kahalagahan ng pag-prioritize at ang pagiging angkop nito sa mga organisasyon na gumagamit ng iba't ibang mga inirerekomendang konsepto.
Executive Buod
Ang mga pangkat ng seguridad sa network ay madalas na nahihirapan sa patuloy na pagpapalabas ng mga kahinaan na
alinman sa ibinunyag sa publiko o natukoy bilang mga zero-day ng mga vendor at mga mananaliksik sa seguridad. Ang bawat isa sa mga antas ng kalubhaan at pagiging mapagsamantala ng mga kahinaan na ito ay nauugnay sa isang marka ng Common Vulnerability Scoring System (CVSS) at, madalas, sa isang numero ng Common Vulnerabilities and Exposures (CVE). Ang mga bahagi ng impormasyon na ito ay napatunayang masalimuot at, kung minsan, ay maaaring magdulot ng isang palaisipan sa mga organisasyon tungkol sa kanilang mga kakayahan sa pamamahala ng kahinaan. 2-7 porsiyento lamang ng lahat ng nai-publish na mga kahinaan ang kailanman pinagsamantalahan sa ligaw at, sa maraming mga kaso, ay binabalewala dahil sa kakulangan ng prioritization.
Ang konsepto ng pagbibigay-priyoridad sa pamamahala ng kahinaan ay mahalaga dahil nakakatulong ito upang suportahan ang mga epektibong diskarte sa pagpapagaan at remediation sa iba't ibang antas ng kakayahan ng organisasyon. Ang ugnayan sa pagitan ng prioritization at antas ng kakayahan ng mga organisasyon ay malapit na nakahanay dahil makakatulong ito sa mga security team na epektibong makipag-ugnayan sa mga stakeholder, tukuyin ang halaga ng asset, at bumuo ng mga patakaran sa remediation na nakakatulong sa pagpapatuloy ng mga sistemang kritikal sa negosyo. Ang priyoridad ay isang proseso na sumasaklaw sa lahat ng antas ng kakayahan at nagbibigay-daan sa mga security team na maayos na maglaan ng mga mapagkukunan upang matugunan ang mga kahinaan na nauugnay sa mga antas ng kalubhaan na lumampas sa risk appetite ng organisasyon.
Health ISAC Risk Based Approach White Paper FNL
Laki: 4.2 MB Format: PDF
