首先,定义我们的术语很重要,因为 漏洞管理 (VM)对不同的人意味着很多不同的事情。考虑到这一点,我在这里将VM定义为: 基于风险和与修复漏洞相关的成本来确定是消除,缓解还是容忍漏洞的过程.

值得定义的另外两个相关术语是:

  • 威胁–可能损坏组织资产或业务功能的人员,情况或事件
  • 脆弱性 –系统的设计,实现或管理中的缺陷,该缺陷为威胁利用系统或过程的弱点提供了一种机制

With those terms now defined, here are 9 key areas that need to be in place to ensure your 漏洞管理 program is effective, and provides high-value to the organization:

  1. 识别所有网络资产
  2. 定义资产关键等级(ACR)
  3. 确定暴露和漏洞
  4. 跟踪相关威胁
  5. 确定风险
  6. 采取纠正措施
  7. 创建指标
  8. 找出并解决合规差距
  9. 实施 automated 漏洞管理 system

第一个任务可以说是最重要的。如果您不知道自己的技术资产是什么,它们在哪里运行以及有关它们的详细信息,那么您将无力全面保护它们。正如著名的管理顾问彼得·德鲁克(Peter Drucker)敏锐地指出: 您可以’尽你所能’t measure。从一个 信息安全 角度来看,您无法保护自己不知道的东西。

组织必须拥有完整的网络清单和蓝图。这通常是通过网络发现过程来完成的,输出是一个全面的清单,详细列出了每个服务器,工作站,网络设备,笔记本电脑,台式机以及网络之间的所有内容。具有最新的企业资产清单的能力是漏洞管理程序的关键方面。

任何CIO,CTO或CISO想做的最后一件事就是 哪里’s Waldo? 尝试查找泄露数据的违规服务器时。但是,如果资源配置不正确,并且他们根本不知道服务器的物理位置或IP地址是什么,他们可能会遇到这种情况。

Finally, just as a 漏洞管理 tool is important, don’t overlook the significance of making sure you have good, trained staff who know:

  • 如何运行该工具
  • 如何理解工具的输出
  • 以及如何应用该输出来解决许多漏洞 漏洞扫描器 will find.

脆弱性 management should be a standard component of the information security management and regulatory framework within every organization. To learn how to get the most out of your 漏洞管理 solution, 
观看我的点播网络研讨会.

资源: //www.beyondtrust.com/blog