Лучшие практики. Руководство по управлению уязвимостями от OWASP

Дата: 20.11.2020. Автор: Сергей Борисов. Категории: Блоги экспертов по информационной безопасности
Лучшие практики. Руководство по управлению уязвимостями от OWASP

 

Достаточно части организации задают вопрос – как построить процесс управления уязвимостями в организации. Недавно сообщество OWASPопубликовало документ Vulnerability Management Guide(OVMG) – по сути руководство по построению процесса управления уязвимостями.

Давайте посмотрим подробнее на наиболее интересные моменты:

·        Чтобы “съесть” большого слона и не подавиться предлагается разделить его на маленькие понятные части

·        Поэтому общий процесс управления уязвимостями рассматривается как тройной цикл из подпроцессов, каждый из которых состоит из повторяющихся задач и подзадач

o   Detection (Обнаружение)

§  Define/Refine scope (Определение области применения)

§  Optimize Tools (Оптимизация средств анализа)

§  Run Vulnerability Tests (Запуск тестов)

§  Confirm Findings (Подтверждение результатов)

o   Reporting (Отчетность)

§  Create Asset Groups (Классификация активов)

§  Define/Refine Metrics (Определение метрик критичности)

§  Create Audit Trail (Подготовка всей информации для обработки уязвимости)

§  Create Reports (Создание отчетов)

o   Remediation (Обработка)

§  Prioritize Vulnerabilities (Приоритизация уязвимостей)

§  Remediation Work (Исправление уязвимостей)

§  Investigate False Positives (Расследование ложных срабатываний)

§  Control Vulnerability Exception Process(Контролируемое принятие уязвимостей — исключения)

·        Задачи в разных циклах могут повторяться с разной периодичностью. Начинать можно с малого и не браться сразу за все подзадачи, а добавлять их постепенно. Обязательно – это регулярная цикличность и совершенствование процесса.


·        Для каждой задачи:

o   Определено входные данные из каких других задач поступают

o   В какие другие задачи должны передаваться выходные данные

o   Детально описано из каких подзадач могут состоять задачи и назначение этих подзадач

o   Итоговая цель задачи

·        Отдельно приводятся карты взаимосвязей задач в рамках процесса

В общем в OVMG есть всё чтобы на его основе разрабатывать регламент управления уязвимостями и создавать в организации процесс управления уязвимостей.

PS: кстати недавно PT сделали предпоказ VM новойсистемы управления уязвимостями — главная цель которой это контроль стандартных процессов управления уязвимостями и возможность резко среагировать на очень критичную уязвимость в ручном режиме. Там подход немного отличается от подхода в OVMG, но в целом тоже неплохой вариант для создания процесса управления уязвимостями.  

PPS: Чтобы не пропустить другие рекомендации и практики по КИИ подписывайтесь в вашем любимом канале

 


Источник — Блог Сергея Борисова про ИБ.

Сергей Борисов

Об авторе Сергей Борисов

Работал в области ТЭК, нескольких банках, последние 10 лет в системной интеграции по ИБ. В данный момент работаю в области ИБ. Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых ИБ продуктов Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Сергей Борисов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *