介于风险的安全管理是合规的必备
发布时间:2022-05-26 08:55:32 所属栏目:安全 来源:互联网
导读:漏洞管理与合规相辅相成。正如遵循特定监管标准有助于有效管理漏洞,有效管理漏洞也有助于规避可致违规的安全事件。 1. 了解资产情况 可能影响关键资产的漏洞绝对要优先修复。对大多数企业而言,关键资产包括但不局限于适用于一个或多个安全合规要求的那些。
|
漏洞管理与合规相辅相成。正如遵循特定监管标准有助于有效管理漏洞,有效管理漏洞也有助于规避可致违规的安全事件。 1. 了解资产情况 可能影响关键资产的漏洞绝对要优先修复。对大多数企业而言,关键资产包括但不局限于适用于一个或多个安全合规要求的那些。比如说,受 HIPAA 管辖的公司企业就要特别关注含有个人健康信息的资产;PCI DSS 辖下公司应重视支付卡数据;GDPR 监管下的公司企业还要将用户数据也纳入重点关注对象。 识别出关键资产后,还要确定并记录下其存储、处理、管理和可能被破坏的方式。与这些资产相关联的技术有哪些?怎么连接的?哪些用户可以出于哪种目的访问这些资产?哪些人可能会想破坏/泄露这些资产?为什么?这些资产一旦被破坏/泄露,会造成什么后果?此类问题的答案有助于识别、分类和排序可能影响这些资产的潜在漏洞。 2. CVSS评分不代表一切 排序修复动作时最常犯的一个错误,是将通用漏洞评分系统 (CVSS) 的分数等同于风险值。尽管 CVSS 评分能反映出漏洞本质和漏洞武器化后的可能行为方式,但这些都是标准化的,并不能反映出上述两个决定漏洞特定风险值的变量——武器化概率和针对公司的特定潜在影响。 3. 风险评估框架 出于修复排序目的的风险评估过程优化可以考虑采用评估框架。现成的风险评估框架有很多,其中一些还是特定监管机构强制要求或建议采用的,这些现成的框架都能帮助安全团队更有效地评估、排序和管理不同风险。 但无论采用哪种框架,都需要根据公司特定环境和风险因素加以实现。也就是说,你需要统计资产,评估资产被黑的潜在影响, 判断漏洞武器化概率。无论有没有应用漏洞风险评估框架,缺了上述信息都无法准确评估漏洞对公司的特定风险。 除此之外,还需谨记:虽然合规不应是安全项目的最终目标,但各个合规要求都强调风险必然是有原因的。有效管理漏洞,尤其是合理排序修复动作,只有基于风险才是可行的。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐