Sách trắng về cách tiếp cận dựa trên rủi ro để ưu tiên tính dễ bị tổn thương
Tóm tắt
Với hơn 15,000 lỗ hổng đã được xác định vào năm 2023 và 25,227 vào năm 2022, các tổ chức phụ thuộc vào các nguồn lực có sẵn. Các tổ chức ngày càng bị choáng ngợp bởi khối lượng phát hiện và nhiệm vụ đầy thách thức là phân loại các lỗ hổng để xác định lỗ hổng nào cần giải quyết trước theo cách kịp thời và được đánh giá tốt.
Do đó, cần phải hoàn thiện các quy trình quản lý lỗ hổng và chuyển hướng khỏi các đánh giá mức độ nghiêm trọng truyền thống. Với sự phát triển của năng lực của tác nhân đe dọa ảnh hưởng lớn đến sự gia tăng của khai thác, điều quan trọng là các tổ chức phải triển khai các khuôn khổ và tiêu chuẩn bền vững để ưu tiên trong quản lý lỗ hổng. Bài báo này là lần lặp lại đầu tiên của một loạt các thông tin liên lạc về quản lý lỗ hổng, tập trung vào tầm quan trọng của việc ưu tiên và khả năng áp dụng của nó đối với các tổ chức bằng cách sử dụng nhiều khái niệm được khuyến nghị.
Báo cáo tóm tắt
Các nhóm bảo mật mạng thường bị vướng vào việc liên tục phát hành các lỗ hổng bảo mật
hoặc được tiết lộ công khai hoặc được các nhà cung cấp và nhà nghiên cứu bảo mật xác định là zero-day. Mỗi mức độ nghiêm trọng và khả năng khai thác của các lỗ hổng này đều liên quan đến điểm số Common Vulnerability Scoring System (CVSS) và thường là với số Common Vulnerabilities and Exposures (CVE). Những mảng thông tin này đã chứng minh là cồng kềnh và đôi khi có thể gây ra câu đố cho các tổ chức liên quan đến khả năng quản lý lỗ hổng của họ. Chỉ có 2-7 phần trăm trong số tất cả các lỗ hổng đã công bố từng bị khai thác trong tự nhiên và trong nhiều trường hợp, bị bỏ qua do thiếu ưu tiên.
Khái niệm ưu tiên trong quản lý lỗ hổng rất quan trọng vì nó giúp hỗ trợ các chiến lược giảm thiểu và khắc phục hiệu quả trên các cấp độ năng lực khác nhau của tổ chức. Mối tương quan giữa mức độ ưu tiên và cấp độ năng lực của tổ chức được liên kết chặt chẽ vì nó có thể giúp các nhóm bảo mật giao tiếp hiệu quả với các bên liên quan, xác định giá trị tài sản và phát triển các chính sách khắc phục có lợi cho tính liên tục của các hệ thống quan trọng đối với doanh nghiệp. Mức độ ưu tiên là một quy trình bao gồm tất cả các cấp độ năng lực và cho phép các nhóm bảo mật phân bổ hợp lý các nguồn lực để giải quyết các lỗ hổng liên quan đến mức độ nghiêm trọng vượt quá mức độ chấp nhận rủi ro của tổ chức.
