Главная » Блоги Экспертов И ИТ-Компаний » Лучшие практики. Руководство по управлению уязвимостями от OWASP

Лучшие практики. Руководство по управлению уязвимостями от OWASP

 small%2Blogo.png

Достаточно части организации задают вопрос – как построить процесс управления уязвимостями в организации. Недавно сообщество OWASPопубликовало документ VulnerabilityManagementGuide(OVMG) – по сути руководство по построению процесса управления уязвимостями.

logo.png

Давайте посмотрим подробнее на наиболее интересные моменты:

·        Чтобы “съесть” большого слона и не подавиться предлагается разделить его на маленькие понятные части

·        Поэтому общий процесс управления уязвимостями рассматривается как тройной цикл из подпроцессов, каждый из которых состоит из повторяющихся задач и подзадач

o   Detection (Обнаружение)

§  Define/Refine scope (Определение области применения)

§  Optimize Tools (Оптимизация средств анализа)

§  Run Vulnerability Tests (Запусктестов)

§  Confirm Findings (Подтверждение результатов)

o   Reporting (Отчетность)

§  Create Asset Groups (Классификацияактивов)

§  Define/Refine Metrics (Определение метрик критичности)

§  Create Audit Trail (Подготовка всей информации для обработки уязвимости)

§  Create Reports (Создание отчетов)

o   Remediation (Обработка)

§  Prioritize Vulnerabilities (Приоритизация уязвимостей)

§  Remediation Work (Исправление уязвимостей)

§  Investigate False Positives (Расследование ложных срабатываний)

§  ControlVulnerabilityExceptionProcess(Контролируемое принятие уязвимостей - исключения)

·        Задачи в разных циклах могут повторяться с разной периодичностью. Начинать можно с малого и не браться сразу за все подзадачи, а добавлять их постепенно. Обязательно – это регулярная цикличность и совершенствование процесса.

%25D1%2582%25D1%2580%25D0%25B8%25D1%2586%25D0%25B8%25D0%25BA%25D0%25BB.png

·        Для каждой задачи:

o   Определено входные данные из каких других задач поступают

o   В какие другие задачи должны передаваться выходные данные

o   Детально описано из каких подзадач могут состоять задачи и назначение этих подзадач

o   Итоговая цель задачи

%25D0%25BF%25D1%2580%25D0%25B8%25D0%25BC%25D0%25B5%25D1%2580%2B%25D0%25B7%25D0%25B0%25D0%25B4%25D0%25B0%25D1%2587%25D0%25B8.png

·        Отдельно приводятся карты взаимосвязей задач в рамках процесса

%25D0%25B2%25D0%25B7%25D0%25B0%25D0%25B8%25D0%25BC%25D0%25BE%25D1%2581%25D0%25B2%25D1%258F%25D0%25B7%25D0%25B8.png
В общем в OVMGесть всё чтобы на его основе разрабатывать регламент управления уязвимостями и создавать в организации процесс управления уязвимостей.

PS: кстати недавно PT сделали ">предпоказ VM новойсистемы управления уязвимостями - главная цель которой это контроль стандартных процессов управления уязвимостями и возможность резко среагировать на очень критичную уязвимость в ручном режиме. Там подход немного отличается от подхода в OVMG, но в целом тоже неплохой вариант для создания процесса управления уязвимостями.  

PPS:

 

Чтобы не пропустить другие рекомендации и практики по КИИ подписывайтесь в вашем любимом канале

 



Источник: https://sborisov.blogspot.com/2020/11/owasp.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыли пароль?
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>