آژانس امنیت سایبری و امنیت زیرساخت (CISA) راهنمای جدید خود در مورد طبقهبندی آسیبپذیریها را برای راهنمایی شرکتها منتشر کرد.
۰
راهنمای اختصاصی آسیبپذیریهای CISA برای سازمانها منتشر شد
سودابه محمدپور
اختصاصی افتانا: آژانس امنیت سایبری و امنیت زیرساخت (CISA) راهنمای جدید خود در مورد طبقهبندی آسیبپذیریها را برای راهنمایی شرکتها منتشر کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Infosecurity، آژانس امنیت سایبری و امنیت زیرساخت (CISA) راهنمای جدیدی در مورد طبقهبندی آسیبپذیری ذینفعان خاص (SSVC) منتشر کرده است.
این روش مدیریت آسیبپذیری برای ارزیابی آسیبپذیریها طراحی شده است و تلاشهای اصلاحی را بر اساس وضعیت بهرهبرداری، تأثیرات بر ایمنی و شیوع محصول آسیب دیده در یک سیستم منفرد اولویتبندی میکند.
طبقهبندی آسیبپذیری ذینفعان خاص اولین بار توسط CISA با همکاری مؤسسه مهندسی نرمافزار دانشگاه کارنگی ملون (SEI) در سال ۲۰۱۹ ایجاد شد.
CISA در سال ۲۰۲۰ با SEI کار کرد تا درخت تصمیمگیری SSVC سفارشی خود را برای بررسی آسیبپذیریهای مربوط به دولت ایالات متحده (USG) و همچنین دولتهای ایالتی، محلی، قبیلهای و سرزمینی (SLTT) و نهادهای زیرساختی حیاتی، توسعه دهد.
طبق آخرین نسخه راهنمای SSVC، فرآیند جدید آن به CISA اجازه داده است تا پاسخ آسیبپذیری و پیامهای آسیبپذیری خود را برای عموم اولویتبندی کند.
اریک گلدشتاین، دستیار اجرایی CISA درباره راهنمای جدید نوشت که سازمانها در هر اندازهای برای مدیریت تعداد و پیچیدگی آسیبپذیریهای جدید به چالش کشیده میشوند.
گلدشتاین در یک پست وبلاگی نوشت: سازمانهایی با برنامههای مدیریت آسیبپذیری بالغ به دنبال راههای کارآمدتری برای تریاژ و اولویتبندی تلاشها هستند. سازمانهای کوچکتر با درک اینکه از کجا شروع کنند و چگونه منابع محدود را تخصیص دهند، مشکل دارند. خوشبختانه مسیری برای مدیریت آسیبپذیری کارآمدتر، خودکارتر و اولویتبندی شده وجود دارد.
گلدشتاین توضیح داد که سازمانها اکنون میتوانند از راهنمای درخت تصمیمگیری SSVC سفارشی CISA برای اولویتبندی آسیبپذیری شناخته شده بر اساس ارزیابی این پنج نقطه تصمیم استفاده کنند: وضعیت بهرهبرداری، تأثیر فنی، قابلیت خودکارسازی، شیوع مأموریت و تأثیر رفاه عمومی.
گلدشتاین در پایان گفت: بر اساس مفروضات معقول برای هر نقطه تصمیم، یک آسیبپذیری به عنوان Track، Track*، Attend یا Act طبقهبندی میشود. شرح هر تصمیم و ارزش را میتوان در صفحه وب جدید SSVC آژانس امنیت سایبری و امنیت زیرساخت یافت.
دستورالعملهای جدید هفتهها پس از انتشار گزارش جداگانهای که CISA در آن اهداف عملکرد امنیت سایبری پایه (CPG) را برای تمام بخشهای زیرساختی حیاتی تشریح کرد، منتشر شد.
منبع: Infosecurity
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Infosecurity، آژانس امنیت سایبری و امنیت زیرساخت (CISA) راهنمای جدیدی در مورد طبقهبندی آسیبپذیری ذینفعان خاص (SSVC) منتشر کرده است.
این روش مدیریت آسیبپذیری برای ارزیابی آسیبپذیریها طراحی شده است و تلاشهای اصلاحی را بر اساس وضعیت بهرهبرداری، تأثیرات بر ایمنی و شیوع محصول آسیب دیده در یک سیستم منفرد اولویتبندی میکند.
طبقهبندی آسیبپذیری ذینفعان خاص اولین بار توسط CISA با همکاری مؤسسه مهندسی نرمافزار دانشگاه کارنگی ملون (SEI) در سال ۲۰۱۹ ایجاد شد.
CISA در سال ۲۰۲۰ با SEI کار کرد تا درخت تصمیمگیری SSVC سفارشی خود را برای بررسی آسیبپذیریهای مربوط به دولت ایالات متحده (USG) و همچنین دولتهای ایالتی، محلی، قبیلهای و سرزمینی (SLTT) و نهادهای زیرساختی حیاتی، توسعه دهد.
طبق آخرین نسخه راهنمای SSVC، فرآیند جدید آن به CISA اجازه داده است تا پاسخ آسیبپذیری و پیامهای آسیبپذیری خود را برای عموم اولویتبندی کند.
اریک گلدشتاین، دستیار اجرایی CISA درباره راهنمای جدید نوشت که سازمانها در هر اندازهای برای مدیریت تعداد و پیچیدگی آسیبپذیریهای جدید به چالش کشیده میشوند.
گلدشتاین در یک پست وبلاگی نوشت: سازمانهایی با برنامههای مدیریت آسیبپذیری بالغ به دنبال راههای کارآمدتری برای تریاژ و اولویتبندی تلاشها هستند. سازمانهای کوچکتر با درک اینکه از کجا شروع کنند و چگونه منابع محدود را تخصیص دهند، مشکل دارند. خوشبختانه مسیری برای مدیریت آسیبپذیری کارآمدتر، خودکارتر و اولویتبندی شده وجود دارد.
گلدشتاین توضیح داد که سازمانها اکنون میتوانند از راهنمای درخت تصمیمگیری SSVC سفارشی CISA برای اولویتبندی آسیبپذیری شناخته شده بر اساس ارزیابی این پنج نقطه تصمیم استفاده کنند: وضعیت بهرهبرداری، تأثیر فنی، قابلیت خودکارسازی، شیوع مأموریت و تأثیر رفاه عمومی.
گلدشتاین در پایان گفت: بر اساس مفروضات معقول برای هر نقطه تصمیم، یک آسیبپذیری به عنوان Track، Track*، Attend یا Act طبقهبندی میشود. شرح هر تصمیم و ارزش را میتوان در صفحه وب جدید SSVC آژانس امنیت سایبری و امنیت زیرساخت یافت.
دستورالعملهای جدید هفتهها پس از انتشار گزارش جداگانهای که CISA در آن اهداف عملکرد امنیت سایبری پایه (CPG) را برای تمام بخشهای زیرساختی حیاتی تشریح کرد، منتشر شد.
منبع: Infosecurity
کد مطلب : 19862
https://aftana.ir/vdcf0cdy.w6d1vagiiw.htmlaftana.ir/vdcf0cdy.w6d1vagiiw.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵