Sanace zranitelností: Praktický průvodce opravami, které mají smysl

Triage: Ne všechno je třeba opravit

Ne každé zjištění vyžaduje okamžitou akci. Informační zjištění zvyšují povědomí, ale nevyžadují nápravu. Zjištění s nízkou závažností v nekritických systémech mohou počkat na další cyklus údržby. Zjištění s účinnými kompenzačními kontrolami mohou být s řádnou dokumentací akceptována jako riziko. Zaměřte energii na nápravu zjištění, která představují skutečné, zneužitelné riziko pro vaše kritická aktiva.

Časové osy dle závažnosti

Definujte časové osy pro nápravu podle závažnosti: Kritická – zahajte nápravu do 24 hodin, vyřešte do 7 dnů. Vysoká – zahajte do 48 hodin, vyřešte do 14 dnů. Střední – zahajte do 7 dnů, vyřešte do 30 dnů. Nízká – vyřešte do 90 dnů nebo do příštího cyklu údržby. Dokumentujte tyto časové osy ve svých bezpečnostních zásadách a prosazujte je prostřednictvím systému sledování problémů.

Odpovědnost za nápravu

Každé zjištění potřebuje lidského vlastníka – někoho, kdo je odpovědný za jeho vyřešení. Bezpečnostní týmy provádějí triage a přidělují. Inženýrské týmy provádějí nápravu. Bezpečnostní tým by neměl psát patche; inženýrský tým by neměl rozhodovat o závažnosti. Jasné oddělení rolí zabraňuje vzniku úzkých míst a obviňování.

Ověření opravy

'Opravené' zjištění bez důkazu o ověření je předpoklad, nikoli fakt. Po nápravě proveďte nové skenování, abyste potvrdili, že je zranitelnost vyřešena. Toto ověření vyžadují rámce pro dodržování předpisů a skutečně snižuje riziko. Penetrify zahrnuje opakované testování v každém zapojení – takže ověření opravy nevyžaduje samostatné zapojení nebo dodatečné náklady.

Metriky nápravy

Sledujte průměrnou dobu nápravy (MTTR) podle úrovně závažnosti, procento zjištění napravených v rámci časových os zásad, míru úspěšnosti opakovaného skenování (procento oprav potvrzených při prvním ověření) a míru opakování zjištění (stejná zranitelnost se znovu objevuje v následujících hodnoceních). Klesající MTTR a míra opakování demonstrují vyspělost programu.