更有效管理安全漏洞的几个最好的实践
发布时间:2022-04-11 10:41:44 所属栏目:安全 来源:互联网
导读:首席信息安全官要向企业员工宣传掌握安全基础的必要性,他们在努力建立一个稳健的漏洞管理计划。其计划可能会因需要关注的漏洞数量、解决漏洞所需的速度或有效所需的资源而受到阻碍。 以下一些最佳实践有助于构建高效的漏洞管理计划: (1)了解自己的环境 安
|
首席信息安全官要向企业员工宣传掌握安全基础的必要性,他们在努力建立一个稳健的漏洞管理计划。其计划可能会因需要关注的漏洞数量、解决漏洞所需的速度或有效所需的资源而受到阻碍。 以下一些最佳实践有助于构建高效的漏洞管理计划: (1)了解自己的环境 安全专家强调,首席信息安全官需要准确了解他们需要保护的技术环境;这有助于他们了解他们的技术堆栈中是否存在已知和新发现的漏洞。 Orchiles建议网络安全领导者确保他们拥有技术环境的详细记录,其中包括编程库等所有组件(事实证明,这些组件对于修补Log4j漏洞的企业至关重要)。此外,每当推出一个新系统时,首席信息安全官带来的团队必须不断地更新该记录。 (2)制定一个真正的计划(不仅仅是临时工作) 扫描漏洞并修复出现的任何漏洞似乎足够了,但安全专家表示,临时方法既低效又不充分。例如,安全团队花费宝贵的时间修补对其企业构成有限威胁的漏洞,而不是优先考虑高风险问题。或者他们忙于完成其他项目并推迟漏洞管理工作,直到他们有空闲的时间。 Abdelkader还建议首席信息安全官使用可以显示其执行情况的关键绩效指标,来确定良好的外观,确定需要改进的领域,然后指示随着时间的推移取得的进展。 (3)根据企业自身的风险进行定制 企业需要不断发现新的漏洞,再加上现有已知漏洞,几乎不可能修复这些问题。Abdelkader说,企业找到一种方法来查明最重要的漏洞并确定修复工作的优先顺序是至关重要的。 他指出,作为一个孤立的系统,所面临的风险与当前的系统不同;因此,每个人都应该获得与自身风险相对应的不同级别的补救优先级。 不过他补充说,这种基于企业自身风险状况的定制和优先排序并不总是会发生。他说,“我看到很多漏洞管理项目都是从一个列表开始的,该列表列出了漏洞扫描发现的内容,以及对企业实际存在的关键风险,以及真正关心的问题。” (编辑:新余站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
热点阅读