Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.
Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.
Достаточно части организации задают вопрос – как построить процесс управления уязвимостями в организации. Недавно сообщество OWASPопубликовало документ VulnerabilityManagementGuide(OVMG) – по сути руководство по построению процесса управления уязвимостями.
Давайте посмотрим подробнее на наиболее интересные моменты:
· Чтобы “съесть” большого слона и не подавиться предлагается разделить его на маленькие понятные части
· Поэтому общий процесс управления уязвимостями рассматривается как тройной цикл из подпроцессов, каждый из которых состоит из повторяющихся задач и подзадач
o Detection (Обнаружение)
§ Define/Refine scope (Определение области применения)
§ Optimize Tools (Оптимизация средств анализа)
§ Run Vulnerability Tests (Запусктестов)
§ Confirm Findings (Подтверждение результатов)
o Reporting (Отчетность)
§ Create Asset Groups (Классификацияактивов)
§ Define/Refine Metrics (Определение метрик критичности)
§ Create Audit Trail (Подготовка всей информации для обработки уязвимости)
§ Create Reports (Создание отчетов)
o Remediation (Обработка)
§ Prioritize Vulnerabilities (Приоритизация уязвимостей)
§ Remediation Work (Исправление уязвимостей)
§ Investigate False Positives (Расследование ложных срабатываний)
§ ControlVulnerabilityExceptionProcess(Контролируемое принятие уязвимостей - исключения)
· Задачи в разных циклах могут повторяться с разной периодичностью. Начинать можно с малого и не браться сразу за все подзадачи, а добавлять их постепенно. Обязательно – это регулярная цикличность и совершенствование процесса.
· Для каждой задачи:
o Определено входные данные из каких других задач поступают
o В какие другие задачи должны передаваться выходные данные
o Детально описано из каких подзадач могут состоять задачи и назначение этих подзадач
o Итоговая цель задачи
· Отдельно приводятся карты взаимосвязей задач в рамках процесса
В общем в OVMGесть всё чтобы на его основе разрабатывать регламент управления уязвимостями и создавать в организации процесс управления уязвимостей.PS: кстати недавно PT сделали ">предпоказ VM новойсистемы управления уязвимостями - главная цель которой это контроль стандартных процессов управления уязвимостями и возможность резко среагировать на очень критичную уязвимость в ручном режиме. Там подход немного отличается от подхода в OVMG, но в целом тоже неплохой вариант для создания процесса управления уязвимостями.
PPS:
Чтобы не пропустить другие рекомендации и практики по КИИ подписывайтесь в вашем любимом канале
Источник: https://sborisov.blogspot.com/2020/11/owasp.html
Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.
Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.