Управление уязвимостями

Управление уязвимостями — это «циклическая практика выявления, классификации, определения приоритетов, устранения и смягчения» уязвимостей программного обеспечения . ^[1] Управление уязвимостями является неотъемлемой частью компьютерной и сетевой безопасности , и его не следует путать с оценкой уязвимостей . ^[2]

Уязвимости можно обнаружить с помощью сканера уязвимостей , который анализирует компьютерную систему в поисках известных уязвимостей. ^[3] такие как открытые порты , небезопасные конфигурации программного обеспечения и восприимчивость к заражению вредоносным ПО . Их также можно выявить, обратившись к общедоступным источникам, таким как NVD, обновлениям безопасности конкретных поставщиков или подписавшись на коммерческую службу оповещения об уязвимостях. Неизвестные уязвимости, такие как нулевой день , ^[3] можно найти с помощью фазз-тестирования . Нечеткое тестирование может выявить определенные виды уязвимостей, например переполнение буфера с помощью соответствующих тестовых примеров . Такой анализ может быть облегчен за счет автоматизации тестирования . Кроме того, антивирусное программное обеспечение, способное проводить эвристический анализ, может обнаружить недокументированное вредоносное ПО, если обнаружит, что ПО ведет себя подозрительно (например, пытается перезаписать системный файл ).

Исправление уязвимостей может включать в себя установку исправления методам , изменение политики сетевой безопасности, реконфигурацию программного обеспечения или обучение пользователей социальной инженерии .

Управление уязвимостями проекта [ править ]

Уязвимость проекта – это подверженность проекта негативным событиям, анализ их воздействия и способность проекта справляться с негативными событиями. ^[4] , основанное на системном мышлении, Управление системными уязвимостями проекта предполагает целостное видение и предлагает следующий процесс:

Выявление уязвимостей проекта
Анализ уязвимостей
Планирование реагирования на уязвимости
Контроль уязвимостей, который включает в себя внедрение, мониторинг, контроль и извлеченные уроки.

В этой модели преодоление негативных событий осуществляется посредством:

сопротивление – статический аспект, относящийся к способности противостоять мгновенному повреждению, и
устойчивость – динамический аспект, относящийся к способности восстанавливаться во времени.

Избыточность — это особый метод повышения устойчивости и устойчивости при управлении уязвимостями. ^[5]

Антихрупкость — это концепция, введенная Нассимом Николасом Талебом для описания способности систем не только сопротивляться неблагоприятным событиям или восстанавливаться после них, но и совершенствоваться благодаря им. Антихрупкость аналогична концепции позитивной сложности, предложенной Стефаном Морковым.

См. также [ править ]

Ссылки [ править ]

^ Форман, Парк (2010). Управление уязвимостями . Бока-Ратон: CRC Press. п. 1. ISBN 978-1-4398-0151-2 . OCLC 444700438 .
^ Валковски, Майкл; Глаз, Джек; Суецкий, Славомир (19 сентября 2021 г.). «Модели управления уязвимостями с использованием общей системы оценки уязвимостей» . Прикладные науки . 11 (18): 8735. doi : 10.3390/app11188735 .
↑ Перейти обратно: Перейти обратно: ^а ^б Анна-Майя Юусо и Ари Таканен Управление неизвестными уязвимостями , технический документ Codenomicon, октябрь 2010 г. [1] .
^ Марл, Франк; Видаль, Людовик-Александр (2016). Управление сложными проектами с высоким риском . Лондон: Спрингер Лондон. п. ^{[ нужна страница ]}. дои : 10.1007/978-1-4471-6787-7 . ISBN 978-1-4471-6785-3 . OCLC 934201504 .
^ Нассим Н. Талеб, Дэниел Г. Гольдштейн (01 октября 2009 г.). «Шесть ошибок руководителей в управлении рисками» . Гарвардское деловое обозрение . ISSN 0017-8012 . Проверено 13 декабря 2021 г.

Внешние ссылки [ править ]

«Внедрение процесса управления уязвимостями» . Институт САНС.

[Foreman_2010_p._1-1] Форман, Парк (2010). Управление уязвимостями . Бока-Ратон: CRC Press. п. 1. ISBN 978-1-4398-0151-2 . OCLC 444700438 .

[2] Валковски, Майкл; Глаз, Джек; Суецкий, Славомир (19 сентября 2021 г.). «Модели управления уязвимостями с использованием общей системы оценки уязвимостей» . Прикладные науки . 11 (18): 8735. doi : 10.3390/app11188735 .

[Codenomicon-3] Перейти обратно: Перейти обратно: ^а ^б Анна-Майя Юусо и Ари Таканен Управление неизвестными уязвимостями , технический документ Codenomicon, октябрь 2010 г. [1] .

[Marle_Vidal_2016_p.-4] Марл, Франк; Видаль, Людовик-Александр (2016). Управление сложными проектами с высоким риском . Лондон: Спрингер Лондон. п. ^{[ нужна страница ]}. дои : 10.1007/978-1-4471-6787-7 . ISBN 978-1-4471-6785-3 . OCLC 934201504 .

[5] Нассим Н. Талеб, Дэниел Г. Гольдштейн (01 октября 2009 г.). «Шесть ошибок руководителей в управлении рисками» . Гарвардское деловое обозрение . ISSN 0017-8012 . Проверено 13 декабря 2021 г.

[1]

[2]

[3]

[4]

[5]

v т и Информационная безопасность
Связанные категории безопасности	Компьютерная безопасность Автомобильная безопасность Киберпреступность Киберсекс-торговля Компьютерное мошенничество Кибергеддон Кибертерроризм Кибервойна Электромагнитная война Информационная война Интернет-безопасность Мобильная безопасность Сетевая безопасность Защита от копирования Управление цифровыми правами	vectorial version
Угрозы	Рекламное ПО Расширенная постоянная угроза Выполнение произвольного кода Бэкдоры Аппаратные бэкдоры Внедрение кода Криминальное ПО Межсайтовый скриптинг Межсайтовые утечки Затирание DOM Обнюхивание истории криптоджекинг Ботнеты Утечка данных Загрузка для проезда Вспомогательные объекты браузера Вирусы Парсинг данных Атака типа «отказ в обслуживании» Подслушивание Мошенничество по электронной почте Подмена электронной почты Эксплойты Хактивизм Небезопасная прямая ссылка на объект Регистраторы нажатий клавиш Логические бомбы Бомбы замедленного действия Вилочные бомбы Зип-бомбы Мошеннические дозвонщики Вредоносное ПО Полезная нагрузка Фишинг Голос Полиморфный движок Повышение привилегий программы-вымогатели Руткиты пугающие программы Шеллкод Спам Социальная инженерия Шпионское ПО Программные ошибки Троянские кони Аппаратные трояны Трояны удаленного доступа Уязвимость Веб-оболочки Стеклоочиститель Черви SQL-инъекция Мошенническое программное обеспечение безопасности Зомби
Защита	Безопасность приложений Безопасное кодирование Безопасно по умолчанию Безопасность благодаря дизайну Случай неправильного использования Контроль доступа к компьютеру Аутентификация Многофакторная аутентификация Авторизация Программное обеспечение компьютерной безопасности Антивирусное программное обеспечение Операционная система, ориентированная на безопасность Безопасность, ориентированная на данные Обфускация (программное обеспечение) Маскирование данных Шифрование Брандмауэр Система обнаружения вторжений Хост-система обнаружения вторжений (HIDS) Обнаружение аномалий Управление информацией о безопасности и событиями (SIEM) Мобильный безопасный шлюз Самозащита приложений во время выполнения Изоляция сайта