راهنمای اختصاصی آسیب‌پذیری‌های CISA برای سازمان‌ها منتشر شد
کد مطلب: 19862
تاریخ انتشار : سه شنبه ۲۴ آبان ۱۴۰۱ ساعت ۱۲:۰۰
 
آژانس امنیت سایبری و امنیت زیرساخت (CISA) راهنمای جدید خود در مورد طبقه‌بندی آسیب‌پذیری‌ها را برای راهنمایی شرکت‌ها منتشر کرد.
راهنمای اختصاصی آسیب‌پذیری‌های CISA برای سازمان‌ها منتشر شد
 
 
Share/Save/Bookmark
اختصاصی افتانا: آژانس امنیت سایبری و امنیت زیرساخت (CISA) راهنمای جدید خود در مورد طبقه‌بندی آسیب‌پذیری‌ها را برای راهنمایی شرکت‌ها منتشر کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Infosecurity، آژانس امنیت سایبری و امنیت زیرساخت (CISA) راهنمای جدیدی در مورد طبقه‌بندی آسیب‌پذیری ذینفعان خاص (SSVC) منتشر کرده است.

این روش مدیریت آسیب‌پذیری برای ارزیابی آسیب‌پذیری‌ها طراحی شده است و تلاش‌های اصلاحی را بر اساس وضعیت بهره‌برداری، تأثیرات بر ایمنی و شیوع محصول آسیب دیده در یک سیستم منفرد اولویت‌بندی می‌کند.

طبقه‌بندی آسیب‌پذیری ذینفعان خاص اولین بار توسط CISA با همکاری مؤسسه مهندسی نرم‌افزار دانشگاه کارنگی ملون (SEI) در سال ۲۰۱۹ ایجاد شد.

CISA در سال ۲۰۲۰ با SEI کار کرد تا درخت تصمیم‌گیری SSVC سفارشی خود را برای بررسی آسیب‌پذیری‌های مربوط به دولت ایالات متحده (USG) و همچنین دولت‌های ایالتی، محلی، قبیله‌ای و سرزمینی (SLTT) و نهادهای زیرساختی حیاتی، توسعه دهد.

طبق آخرین نسخه راهنمای SSVC، فرآیند جدید آن به CISA اجازه داده است تا پاسخ آسیب‌پذیری و پیام‌های آسیب‌پذیری خود را برای عموم اولویت‌بندی کند.

اریک گلدشتاین، دستیار اجرایی CISA درباره راهنمای جدید نوشت که سازمان‌ها در هر اندازه‌ای برای مدیریت تعداد و پیچیدگی آسیب‌پذیری‌های جدید به چالش کشیده می‌شوند.

گلدشتاین در یک پست وبلاگی نوشت: سازمان‌هایی با برنامه‌های مدیریت آسیب‌پذیری بالغ به دنبال راه‌های کارآمدتری برای تریاژ و اولویت‌بندی تلاش‌ها هستند. سازمان‌های کوچک‌تر با درک اینکه از کجا شروع کنند و چگونه منابع محدود را تخصیص دهند، مشکل دارند. خوشبختانه مسیری برای مدیریت آسیب‌پذیری کارآمدتر، خودکارتر و اولویت‌بندی شده وجود دارد.

گلدشتاین توضیح داد که سازمان‌ها اکنون می‌توانند از راهنمای درخت تصمیم‌گیری SSVC سفارشی CISA برای اولویت‌بندی آسیب‌پذیری شناخته شده بر اساس ارزیابی این پنج نقطه تصمیم استفاده کنند: وضعیت بهره‌برداری، تأثیر فنی، قابلیت خودکارسازی، شیوع مأموریت و تأثیر رفاه عمومی.

گلدشتاین در پایان گفت: بر اساس مفروضات معقول برای هر نقطه تصمیم، یک آسیب‌پذیری به عنوان Track، Track*، Attend یا Act طبقه‌بندی می‌شود. شرح هر تصمیم و ارزش را می‌توان در صفحه وب جدید SSVC آژانس امنیت سایبری و امنیت زیرساخت یافت.

دستورالعمل‌های جدید هفته‌ها پس از انتشار گزارش جداگانه‌ای که CISA در آن اهداف عملکرد امنیت سایبری پایه (CPG) را برای تمام بخش‌های زیرساختی حیاتی تشریح کرد، منتشر شد.

منبع: Infosecurity