• <noframes id="4bvqq"><button id="4bvqq"><delect id="4bvqq"></delect></button></noframes>

      <legend id="4bvqq"></legend>
      <kbd id="4bvqq"></kbd>

      1. <strike id="4bvqq"><label id="4bvqq"><td id="4bvqq"></td></label></strike>
        <strike id="4bvqq"></strike>
        當前位置:首頁(yè) ? 安全資訊 ? 如何創(chuàng )建有效的漏洞優(yōu)先級排序原則

        如何創(chuàng )建有效的漏洞優(yōu)先級排序原則

        來(lái)源:企業(yè)網(wǎng)D1Net 作者:Harris編輯 更新時(shí)間:2023/12/20 7:21:13

        摘要:Morphisec的首席技術(shù)官兼惡意軟件研究主管MichaelGorelik討論了監管框架、不完整的資產(chǎn)清點(diǎn)和手動(dòng)方法帶來(lái)的挑戰,同時(shí)還探討了自動(dòng)化系統的作用、面對不斷變化的網(wǎng)絡(luò )威脅時(shí)漏洞優(yōu)先級的未來(lái),以及公司在建立有效的補救策略時(shí)應考慮的關(guān)鍵因素。

           Morphisec的首席技術(shù)官兼惡意軟件研究主管MichaelGorelik討論了監管框架、不完整的資產(chǎn)清點(diǎn)和手動(dòng)方法帶來(lái)的挑戰,同時(shí)還探討了自動(dòng)化系統的作用、面對不斷變化的網(wǎng)絡(luò )威脅時(shí)漏洞優(yōu)先級的未來(lái),以及公司在建立有效的補救策略時(shí)應考慮的關(guān)鍵因素。
          
          了解漏洞的業(yè)務(wù)影響如何幫助確定它們的優(yōu)先順序?你能舉個(gè)例子說(shuō)明這在現實(shí)世界中是如何有效運作的嗎?
          
          修復漏洞是一項艱巨的任務(wù)。截至2023年12月,已發(fā)布超過(guò)4540個(gè)關(guān)鍵漏洞(CVSS排名為9+),然而,這些漏洞中被利用的不到2%。
          
          使用CVSS評分推動(dòng)修補工作的公司可能跟不上新漏洞的速度,因為部署安全補丁需要測試、兼容性檢查和風(fēng)險評估,導致修補漏洞需要4-6周(或更長(cháng)時(shí)間),這一漫長(cháng)的過(guò)程是因為需要避免由于安裝軟件更新可能導致兼容性問(wèn)題而造成的業(yè)務(wù)中斷,這對公司來(lái)說(shuō)是一個(gè)重大風(fēng)險。因此,必須根據公司的業(yè)務(wù)上下文確定優(yōu)先順序,并與它們面臨的最嚴重的漏洞保持一致——這將導致可持續的補救過(guò)程。
          
          公司應該了解哪些漏洞有可能在其獨特的環(huán)境中被利用,以及哪些漏洞可能構成最高的業(yè)務(wù)風(fēng)險,例如,與駐留在保護良好的環(huán)境中的未使用的應用程序中的漏洞相比,存在于活動(dòng)的面向互聯(lián)網(wǎng)的業(yè)務(wù)應用程序中的具有已證實(shí)可利用性的漏洞或存在高概率利用的漏洞可能具有更高的優(yōu)先級。
          
          遵守GDPR這樣的監管框架在哪些方面有助于確定漏洞的優(yōu)先順序,這與維護公司的可信度有何關(guān)系?
          
          漏洞管理是許多合規和監管框架的關(guān)鍵組成部分,如NISTCSF、PCIDSS(支付卡行業(yè)數據安全標準)、NERCCIP(北美電氣可靠性公司關(guān)鍵基礎設施保護)、CIS(互聯(lián)網(wǎng)安全中心)關(guān)鍵安全控制、GDPR(通用數據保護法規)等。
          
          監管框架包括數據保護和隱私的組成部分,這些組成部分通過(guò)要求公司實(shí)施安全措施來(lái)保護個(gè)人數據,間接解決了漏洞管理問(wèn)題。個(gè)人數據的丟失可能導致信譽(yù)喪失,并被美國證券交易委員會(huì )(SecuritiesAndExchangeCommission)等監管機構處以違反監管規定的罰款。由業(yè)務(wù)上下文確定優(yōu)先級和驅動(dòng)的漏洞管理實(shí)踐可以將處理PII的資產(chǎn)定義為關(guān)鍵資產(chǎn),這可以極大地減少公司受到網(wǎng)絡(luò )攻擊的風(fēng)險和受保護數據的外泄。
          
          你對漏洞優(yōu)先排序的自動(dòng)化系統有何看法?他們如何應對手動(dòng)方法的挑戰?
          
          系統應持續運行并收集實(shí)時(shí)數據,以根據實(shí)際使用情況確定漏洞優(yōu)先級,另一方面,傳統的漏洞系統通常會(huì )定期收集信息——按需、每周甚至每月,然而,缺乏當前的暴露環(huán)境可能會(huì )導致資源分配和安全漏洞,這會(huì )造成巨大的人力資源開(kāi)銷(xiāo),并造成安全漏洞,因為這些信息不會(huì )顯示公司暴露的當前地圖。
          
          自動(dòng)和連續的優(yōu)先順序適應動(dòng)態(tài)變化的攻擊面,反過(guò)來(lái),團隊獲得了更高的準確性,減少了對手動(dòng)數據收集和分析的依賴(lài)。自動(dòng)化系統允許更大的容量來(lái)消化更多(和更高優(yōu)先級)的數據,并更好地利用現有資源。
          
          同時(shí),在部署補丁之前,公司應考慮部署無(wú)補丁保護,以減少其受攻擊面。無(wú)補丁保護能夠保護尚未打補丁的已知漏洞,同時(shí)防止未知漏洞造成損害。
          
          不完整的資產(chǎn)清單和數據如何影響確定脆弱性?xún)?yōu)先順序的過(guò)程,以及可以采用哪些戰略來(lái)克服這些挑戰?
          
          影子IT資產(chǎn)或公司無(wú)法輕松訪(fǎng)問(wèn)的資產(chǎn)上的漏洞無(wú)法補救。不是所有資產(chǎn)都可以完全映射,也不是所有資產(chǎn)——例如,運行任務(wù)關(guān)鍵型流程的資產(chǎn)——都可以更新。在這種情況下,公司需要一個(gè)清晰的地圖來(lái)定義哪些應用程序和資產(chǎn)構成最高風(fēng)險,以便能夠分配資源來(lái)為整個(gè)公司繪制地圖并創(chuàng )建更廣泛的庫存。同時(shí),公司應考慮應用補償性控制,例如自動(dòng)移動(dòng)目標防御,以保護運行無(wú)法修補的應用程序的系統。
          
          公司在構建漏洞優(yōu)先級排序公式時(shí)應考慮哪些關(guān)鍵因素?這些因素如何相互作用來(lái)決定補救工作的緊迫性?
          
          沒(méi)有兩個(gè)公司是相同的,每個(gè)公司都可能希望根據不同的戰略確定優(yōu)先順序。為此,漏洞管理系統應提供多種選項來(lái)推動(dòng)工作,包括按業(yè)務(wù)環(huán)境對計算資產(chǎn)進(jìn)行分組、考慮整個(gè)主機(計算設備)的暴露、聚合應用程序上的漏洞以及展示漏洞的可利用性和潛在可利用性。
          
          因此,公司應確定其關(guān)鍵的優(yōu)先級驅動(dòng)點(diǎn),例如,將重點(diǎn)放在業(yè)務(wù)關(guān)鍵型應用程序上,并根據該戰略推動(dòng)補救流程?,F代漏洞補救技術(shù)應該很容易適應公司選擇的戰略。
          
          你認為漏洞優(yōu)先排序的未來(lái)走向如何,特別是隨著(zhù)網(wǎng)絡(luò )威脅和技術(shù)進(jìn)步的演變?
          
          由CVSS評分驅動(dòng)的標準漏洞管理實(shí)踐已演變?yōu)榛陲L(fēng)險的漏洞優(yōu)先排序。下一步將是向風(fēng)險暴露管理的范式轉變,這是一個(gè)更寬泛的術(shù)語(yǔ),涵蓋了越來(lái)越多的元素,這些元素是代表公司風(fēng)險的關(guān)鍵類(lèi)別。
          
          例如,除了應用程序漏洞外,公司還將深化對特定于公司的錯誤配置、權限和資產(chǎn)的識別和基于風(fēng)險的評估,這些要素將構成總體風(fēng)險評分的基礎,這將使安全專(zhuān)業(yè)人員能夠更好地將其有限的資源集中在能夠最大限度地降低風(fēng)險的領(lǐng)域。
          
          編輯:Harris

        機房360微信公眾號訂閱
        掃一掃,訂閱更多數據中心資訊

        本文地址:http://www.digitalgaraz.com/news/20231220/n7530155137.html 網(wǎng)友評論:閱讀次數:
        版權聲明:凡本站原創(chuàng )文章,未經(jīng)授權,禁止轉載,否則追究法律責任。
        轉載聲明:凡注明來(lái)源的文章其內容和圖片均為網(wǎng)上轉載,非商業(yè)用途,如有侵權請告知,會(huì )刪除。
        相關(guān)評論
        正在加載評論列表...
        評論表單加載中...
        • 我要分享
        推薦圖片
        久久免费中文视频_自拍亚洲欧美变态重口_国产亚洲精品久久久久久久无码_天天日天天cao