CISA发布漏洞修补决策树模型

admin 2022年11月14日09:56:42安全新闻评论19 views1845字阅读6分9秒阅读模式
网络安全等级保护:信息系统安全运维管理指南思维导图

最常见的20种网络安全攻击类型

《网络数据分类分级要求》(征求意见稿)思维导图

关基保护:关键信息基础设施安全保护要求的一点杂感

2023 年应该注意的10种网络攻击类型

澳大利亚:网络安全原则

卡内基梅隆大学:缓解内部威胁的常识指南

卡内基梅隆大学软件工程研究所 (SEI) 与 CISA 合作,于 2019 年创建了特定于利益相关者的漏洞分类 (SSVC) 系统,为网络社区提供了一种漏洞分析方法,该方法解释了漏洞的利用状态、对安全的影响以及受影响产品在单一系统中的流行程度。CISA 于 2020 年与 SEI 合作开发了自己的定制 SSVC 决策树,以检查与美国政府 (USG) 以及州、地方、部落和地区 (SLTT) 政府以及关键基础设施实体相关的漏洞。实施 SSVC 使 CISA 能够更好地优先考虑其漏洞响应和向公众发送漏洞消息。 

CISA 如何使用 SSVC 

CISA 使用自己的 SSVC 决策树模型将相关漏洞的优先级划分为四个可能的决策: 

  • 跟踪:该漏洞目前不需要采取措施。如果有新信息可用,该组织将继续跟踪漏洞并重新评估它。CISA 建议在标准更新时间内修复 Track 漏洞。 

  • 跟踪*:该漏洞包含可能需要更密切监视更改的特定特征。CISA 建议在标准更新时间表内修复 Track* 漏洞。 

  • 参加:该漏洞需要组织内部的监督级别人员的关注。必要的操作包括请求有关漏洞的帮助或信息,并且可能涉及在内部和/或外部发布通知。CISA 建议比标准更新时间表更早地修复Attend 漏洞。 

  • 行动:该漏洞需要组织内部、监管层和领导层个人的关注。必要的操作包括请求有关漏洞的帮助或信息,以及在内部和/或外部发布通知。通常,内部小组会开会确定总体响应,然后执行商定的行动。CISA 建议尽快修复 Act 漏洞。 

美国网络安全和基础设施安全局 (CISA) 周四宣布发布特定利益相关者漏洞分类 (SSVC) 指南,该指南可以帮助组织使用决策树模型优先考虑漏洞修补。
SSVC 系统由 CISA 和卡内基梅隆大学软件工程研究所 (SEI) 于 2019 年创建,一年后 CISA 针对与政府和关键基础设施组织相关的安全漏洞开发了自己的定制 SSVC 决策树。
CISA 现在鼓励各种规模的组织使用其 SSVC 版本进行漏洞管理。
SSVC提供了一个定制的决策树模型,可帮助公司确定漏洞响应的优先级。

CISA发布漏洞修补决策树模型

CISA 建议将 SSVC与其已知被利用漏洞 (KEV) 目录、通用安全咨询框架 (CSAF) 机器可读安全公告和漏洞利用交换 (VEX) 结合使用。
“行业中的每个人都明白,我们不能只是盲目地使用 CVSS 分数来确定漏洞的优先级,”NetRise 现场工程总监 Derek McCarthy 评论道。“环境很重要(很多),SSVC 做了令人难以置信的工作,列举了在确定如何处理任何给定环境中的漏洞时应该涉及的所有因素。CISA 的扩展工作应该被证明是有价值的,因为它可以汇总一些更相关的细节,使组织能够更轻松地消化和实施反映 SSVC 框架目标的漏洞管理政策和程序。”

CISA发布漏洞修补决策树模型

  1. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  2. 网络安全等级保护:等级保护测评过程及各方责任
  3. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  4. 网络安全等级保护:什么是等级保护?
  5. 网络安全等级保护:信息技术服务过程一般要求
  6. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  7. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  8. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  9. 闲话等级保护:测评师能力要求思维导图
  10. 闲话等级保护:应急响应计划规范思维导图
  11. 闲话等级保护:浅谈应急响应与保障
  12. 闲话等级保护:如何做好网络总体安全规划
  13. 闲话等级保护:如何做好网络安全设计与实施
  14. 闲话等级保护:要做好网络安全运行与维护
  15. 闲话等级保护:人员离岗管理的参考实践
  16. 信息安全服务与信息系统生命周期的对应关系
  17. 工业控制系统安全:信息安全防护指南
  18. 工业控制系统安全:工控系统信息安全分级规范思维导图
  19. 工业控制系统安全:DCS防护要求思维导图
  20. 工业控制系统安全:DCS管理要求思维导图
  21. 工业控制系统安全:DCS评估指南思维导图
  22. 工业控制安全:工业控制系统风险评估实施指南思维导图
  23. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  24. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
  25. 数据安全风险评估清单

  26. 成功执行数据安全风险评估的3个步骤

  27. 美国关键信息基础设施数据泄露的成本

  28. VMware 发布9.8分高危漏洞补丁


原文始发于微信公众号(祺印说信安):CISA发布漏洞修补决策树模型

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月14日09:56:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CISA发布漏洞修补决策树模型 http://cn-sec.com/archives/1407793.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: