网络安全机构CISA与卡内基梅隆大学合作发布了SSVC指南,用于评估和优先处理漏洞。该方法根据开发状态、技术影响等因素决定补丁工作顺序,帮助组织更高效地应对安全挑战。
网络安全与基础设施安全机构(CISA)发布了一份关于特定利益相关者漏洞分类(SSVC)的新指南。
这种漏洞管理方法旨在评估漏洞,并根据开发状态、对安全性的影响和单一系统中受影响产品的流行程度确定补救工作的优先次序。
SSVC最早由CISA与卡内基梅隆大学软件工程研究所(SEI)于2019年合作创建。
2020年,CISA随后与SEI合作,开发了其定制的SSVC决策树,以检查与美国政府(USG)、州、地方、部落和领土(SLTT)政府和关键基础设施实体相关的漏洞。
根据SSVC的最新版本,它的新实现允许CISA更好地优先考虑其漏洞响应和向公众发送漏洞消息。
CISA的执行助理主任埃里克·戈尔茨坦(Eric Goldstein)在谈到新指南时说:“各种规模的组织都面临着管理新漏洞数量和复杂性的挑战。”
Goldstein在一篇博客文章中写道:“拥有成熟脆弱性管理程序的组织寻求更有效的方法来分类和优先级。较小的组织难以理解从哪里开始,以及如何分配有限的资源。”
这位安全专家补充说:“幸运的是,有一条通往更高效、更自动化、更优先的漏洞管理的道路。”
Goldstein解释说:“组织现在可以使用CISA定制的SSVC决策树指南,根据5个决策点(开发状态、技术影响、自动化、任务普及和公共福利影响)来优先考虑已知的漏洞。”
Goldstein总结道:“基于对每个决策点的合理假设,漏洞将被归类为Track、Track*、Attend或Act。每个决策和价值的描述可以在CISA新的SSVC网页上找到。”
几周前,CISA发布了一份单独的报告,概述了所有关键基础设施行业的网络安全性能基线目标(CPGs)。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
