避免常见脆弱管理错误并尽量从工具中解脱
Don'tchange修复.令人惊讶的是,组织会执行漏洞扫描或雇人扫描、取报告而不跟踪可能摘取一两个关键项 忽略其余结果是组织花时间和钱却没有为安全做很多事
组织停止检测端点, 主管Forester分析师Chenxi Wang表示表示你身处何方 但不为风险姿势做点什么
并读伴语漏洞管理越发性感
脆弱度和配置管理必须在定义清晰的改变控制过程内进行补救,由脆弱度管理工具支持并绑入控制机制,例如入场券系统工具应支持进程,不仅通过脆弱性和误差检测,而且通过基于威胁严重程度和脆弱系统价值的风险评估进程不完全,门票无法关闭,直到重新扫描验证修复效果(即补丁应用成功或配置错误纠正)。
安全顾问Shaheen Abdul Jabbar表示:「有些组织非常主动,安全人员扫描后通知IT部门,
DO使用扫描服务.受规则约束需要定期第三方扫描时,反正你没有选择权在此情况下,不要局限于满足最小调控要求顺从修复过程-好审计师会坚持
不论监管义务如何,软件即服务管理服务是脆弱程度管理可行的选择数大商家高度或甚至完全专注于服务,允许它们替代或补充内部扫描SaaS素材集中面向公共系统服务提供商会把黑盒电机放入客户网络并报告结果
一些组织一直放肆允许在组织外分享扫描收集的所有数据确定数据受强密钥管理保护,只有经授权人员-没有供货商雇员-才能访问数据
同时,确保认证扫描证书严格保密,或是通过销售商自己的技术或通过产品特权身份管理保险库产品
漏洞管理服务可节省资本支出、管理间接费和人头数
考虑引进咨询商或服务提供商,至少定期补充内部扫描使用无私外部保护者避免内部偏向或自我保护疏漏报告
DO坚持使用报告.数级应用最高层次,当然,你想要趋势化和总体状况报告管理安全级脆弱度管理工具应提供信息说明缺陷的严重程度,依据标准如常见脆弱度和接触链表或常见脆弱度分解系统并按组织对资产定位值加权报表应说明易损性、易损度和高风险负责补救者的业务报告应直截了当并面向任务
并读上漏洞管理基础
补丁和配置改变通常由网络操作人员和系统管理员执行他们不是安全专业人员,所以报告和指令应描述补丁和配置变化,而不是漏洞
审计报告应清晰显示检测脆弱度或配置错误,评估风险,开票,开票后闭机处理问题,并最后扫描验证整治
最后,报告应可重定位不同使用数据-组织不同部分和对象类型报告、不同集规范报告等
