日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
解析漏洞管理的五個(gè)階段

在組織內(nèi)部建立良好的信息安全計(jì)劃的關(guān)鍵,是要擁有一個(gè)良好的漏洞管理計(jì)劃。大多數(shù)(如果不是全部的話(huà))監(jiān)管政策和信息安全框架都建議,將強(qiáng)大的漏洞管理計(jì)劃作為組織在構(gòu)建其信息安全計(jì)劃時(shí)應(yīng)該做的第一件事?;ヂ?lián)網(wǎng)安全中心也特別將其列為“Top 20 CIS控制”中的第三名。

創(chuàng)新互聯(lián)建站專(zhuān)注為客戶(hù)提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于做網(wǎng)站、成都網(wǎng)站制作、上黨網(wǎng)絡(luò)推廣、成都微信小程序、上黨網(wǎng)絡(luò)營(yíng)銷(xiāo)、上黨企業(yè)策劃、上黨品牌公關(guān)、搜索引擎seo、人物專(zhuān)訪(fǎng)、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等,從售前售中售后,我們都將竭誠(chéng)為您服務(wù),您的肯定,是我們最大的嘉獎(jiǎng);創(chuàng)新互聯(lián)建站為所有大學(xué)生創(chuàng)業(yè)者提供上黨建站搭建服務(wù),24小時(shí)服務(wù)熱線(xiàn):13518219792,官方網(wǎng)址:www.cdcxhl.com

多年來(lái),我看到過(guò)各種不同的漏洞管理計(jì)劃,并與許多在VM程序中具有不同成熟度的公司合作。本文將概述基于能力成熟度模型(CMM)的五個(gè)成熟階段,來(lái)讓您了解如何使您的組織更上一層樓,達(dá)到下一個(gè)成熟度階段。

什么是能力成熟度模型(CMM)?

CMM是一種模型,可幫助以漸進(jìn)和可定義的方法來(lái)開(kāi)發(fā)和優(yōu)化流程。有關(guān)該模型的更多詳細(xì)信息,請(qǐng)點(diǎn)此鏈接查詢(xún)。以下為CMM的五個(gè)階段:

第1階段:初始

在漏洞管理計(jì)劃的初始階段,通常沒(méi)有或只有很少的流程和程序。漏洞掃描由第三方供應(yīng)商完成,作為滲透測(cè)試或外部掃描的一部分。根據(jù)審核員或相關(guān)監(jiān)管要求,這些掃描通常每年進(jìn)行一到四次。

執(zhí)行漏洞掃描的供應(yīng)商將提供組織內(nèi)漏洞的報(bào)告。然后,組織通常會(huì)修復(fù)所有嚴(yán)重或高危級(jí)別的漏洞,以確保自身保持合規(guī)性。一旦取得及格分?jǐn)?shù),剩下的信息就會(huì)被歸檔處理。

正如我們?cè)谶^(guò)去幾年中所看到的那樣,安全性不能僅僅被視為合規(guī)性的復(fù)選框(checkbox)。如果您仍處于這一階段,那么您可能會(huì)成為攻擊者的主要目標(biāo)。如果您尚未開(kāi)始能力成熟度模型,那么建議您盡快完全這第一階段。

第2階段:管理

在漏洞管理程序的管理階段,漏洞掃描是在內(nèi)部進(jìn)行的。組織內(nèi)部定義了一組漏洞掃描程序。他們會(huì)購(gòu)買(mǎi)一個(gè)漏洞管理解決方案,并開(kāi)始每周或每月掃描一次。在運(yùn)行未經(jīng)身份驗(yàn)證的漏洞掃描時(shí),安全管理員會(huì)從外部角度查看漏洞。

在這個(gè)階段,我看到的大多數(shù)組織都沒(méi)有得到高層管理人員的支持,因此掌握的預(yù)算也就十分有限。這導(dǎo)致組織只能去購(gòu)買(mǎi)相對(duì)便宜的解決方案,或使用免費(fèi)的開(kāi)源漏洞掃描程序。雖然低端解決方案確實(shí)提供了基本的掃描功能,但它們的數(shù)據(jù)收集、業(yè)務(wù)環(huán)境和自動(dòng)化的可靠性也會(huì)受到限制。

使用低端解決方案可能會(huì)出現(xiàn)不同的問(wèn)題。首先是漏洞報(bào)告的準(zhǔn)確性和優(yōu)先級(jí)。如果您向系統(tǒng)管理員發(fā)送包含大量誤報(bào)的報(bào)告,您將立即失去他們的信任。因?yàn)樗麄兒推渌腥艘粯樱ぷ鞣浅Cβ?,所以他們希望能夠有效地、最大限度地利用自己的時(shí)間。由此,可靠準(zhǔn)確的報(bào)告對(duì)于確保及時(shí)進(jìn)行補(bǔ)救至關(guān)重要。

第二個(gè)問(wèn)題是,即便驗(yàn)證了漏洞確實(shí)是易受攻擊的,又將如何確定哪些漏洞應(yīng)該優(yōu)先進(jìn)行修復(fù)呢?大多數(shù)解決方案會(huì)按高,中,低或1-10分來(lái)分類(lèi)評(píng)級(jí)。由于系統(tǒng)管理員擁有的資源有限,他們一次只能修復(fù)幾個(gè)漏洞。他們?nèi)绾未_定哪個(gè)“高”更高?哪個(gè)10分更為緊迫?如果沒(méi)有適當(dāng)?shù)膬?yōu)先級(jí),這可能是一項(xiàng)艱巨的任務(wù)。當(dāng)然,諸如CVSS之類(lèi)的行業(yè)標(biāo)準(zhǔn)對(duì)于共同的通信機(jī)制是有必要的。除此之外,能夠優(yōu)先排序則提供了巨大的價(jià)值。

第3階段:定義

在漏洞管理計(jì)劃的定義階段,整個(gè)過(guò)程和程序都已經(jīng)具備了良好的特征,且在整個(gè)組織中得到了很好的理解。信息安全團(tuán)隊(duì)也已經(jīng)得到了執(zhí)行管理層的支持以及系統(tǒng)管理員的信任。

在此階段中,信息安全團(tuán)隊(duì)也已經(jīng)證明,他們選擇的漏洞管理解決方案對(duì)于在組織的網(wǎng)絡(luò)上進(jìn)行掃描是可靠且安全的。根據(jù)互聯(lián)網(wǎng)安全中心的建議,經(jīng)過(guò)身份驗(yàn)證的漏洞掃描至少每周運(yùn)行一次,并將特定于受眾的報(bào)告?zhèn)鬟f到組織中的各個(gè)級(jí)別。系統(tǒng)管理員會(huì)收到特定的漏洞報(bào)告,而管理層則會(huì)收到漏洞風(fēng)險(xiǎn)趨勢(shì)報(bào)告。

此外,將漏洞管理狀態(tài)數(shù)據(jù)與信息安全生態(tài)系統(tǒng)的其余部分進(jìn)行共享,可以為信息安全團(tuán)隊(duì)提供可操作的情報(bào)。例如,如果在外部防火墻上檢測(cè)到漏洞,則可以在安全事件和事件管理(SIEM)工具中運(yùn)行快速關(guān)聯(lián),以確定哪些系統(tǒng)易受該漏洞攻擊。

我發(fā)現(xiàn),目前大多數(shù)組織都介于“第二階段”(管理)和“第三階段”(定義)之間。如上所述,一個(gè)非常常見(jiàn)的問(wèn)題是如何獲得系統(tǒng)管理員的信任。如果最初選擇的解決方案不符合組織的要求,則很難重新獲得信任。

第4階段:量化管理

在漏洞管理程序的定量管理階段,程序的特定屬性是可量化的,并且向管理團(tuán)隊(duì)提供度量標(biāo)準(zhǔn)。以下是每個(gè)組織應(yīng)跟蹤的一些漏洞度量標(biāo)準(zhǔn):

  • 近期組織的漏洞管理系統(tǒng)未掃描的組織業(yè)務(wù)系統(tǒng)的百分比是多少?
  • 每個(gè)組織的業(yè)務(wù)系統(tǒng)的平均漏洞分?jǐn)?shù)是多少?
  • 每個(gè)組織的業(yè)務(wù)系統(tǒng)的漏洞總分是多少?
  • 平均而言,將操作系統(tǒng)軟件更新完全部署到業(yè)務(wù)系統(tǒng)中需要多長(zhǎng)時(shí)間?
  • 平均而言,將應(yīng)用程序軟件更新完全部署到業(yè)務(wù)系統(tǒng)中需要多長(zhǎng)時(shí)間?

這些指標(biāo)可以進(jìn)行整體查看,也可以按各個(gè)業(yè)務(wù)部門(mén)進(jìn)行細(xì)分,以查看哪些業(yè)務(wù)部門(mén)正在降低風(fēng)險(xiǎn),哪些業(yè)務(wù)部門(mén)處于比較落后的狀態(tài)。

第五階段:優(yōu)化

在漏洞管理程序的優(yōu)化階段,前一階段定義的度量標(biāo)準(zhǔn)旨在進(jìn)行改進(jìn)。優(yōu)化每個(gè)指標(biāo)將確保漏洞管理程序不斷減少組織的攻擊面。信息安全團(tuán)隊(duì)?wèi)?yīng)該與管理團(tuán)隊(duì)合作,為漏洞管理計(jì)劃設(shè)定可實(shí)現(xiàn)的目標(biāo)。一旦達(dá)到這些目標(biāo),就可以設(shè)定新的、更積極的目標(biāo),以實(shí)現(xiàn)持續(xù)的流程改進(jìn)。

漏洞管理與資產(chǎn)發(fā)現(xiàn)相結(jié)合,占據(jù)了“Top 20 CIS控制”的前三名。因此,確保漏洞管理計(jì)劃的持續(xù)成熟是減少組織攻擊面的關(guān)鍵。如果我們每個(gè)人都可以減少攻擊面,我們可以讓這個(gè)網(wǎng)絡(luò)世界更安全!

關(guān)于“Top 20 CIS控制”

  • 硬件資產(chǎn)的庫(kù)存和控制;
  • 軟件資產(chǎn)的庫(kù)存和控制;
  • 持續(xù)漏洞管理;
  • 管理權(quán)限的控制使用;
  • 移動(dòng)設(shè)備、筆記本電腦、工作站和服務(wù)器上的硬件和軟件的安全配置;
  • 審計(jì)日志的維護(hù)、監(jiān)控和分析;
  • 電子郵件和Web瀏覽器保護(hù);
  • 惡意軟件防御;
  • 網(wǎng)絡(luò)端口、協(xié)議和服務(wù)的限制和控制;
  • 數(shù)據(jù)恢復(fù)功能;
  • 網(wǎng)絡(luò)設(shè)備(例如防火墻、路由器和交換機(jī))的安全配置;
  • 邊界防御;
  • 數(shù)據(jù)保護(hù);
  • 訪(fǎng)問(wèn)控制(只賦予“需要的”人員訪(fǎng)問(wèn)權(quán)限);
  • 無(wú)線(xiàn)訪(fǎng)問(wèn)控制;
  • 賬戶(hù)監(jiān)控;
  • 實(shí)施安全意識(shí)和培訓(xùn)計(jì)劃;
  • 應(yīng)用軟件安全;
  • 事件響應(yīng)和管理;
  • 滲透測(cè)試和“紅隊(duì)”練習(xí);

點(diǎn)擊查看完整白皮書(shū)。


本文名稱(chēng):解析漏洞管理的五個(gè)階段
轉(zhuǎn)載注明:http://m.5511xx.com/article/ccdgdsp.html