A szervezet döntési fája alapján könnyebb lesz eldönteni, hogy a sebezhetőségek foltozásánál milyen menetrendet érdemes kialakítani.

Új sebezhetőségi kategorizálási útmutatót tett közzé a CISA (Cybersecurity and Infrastructure Security Agency). Az amerikai kiber- és infrastruktúra-biztonsági ügynökség egy olyan döntési fa modelljére építette új rendszerét, amely alapján stakeholder-specifikusan lehet meghatározni az egyes sebezhetőségekkel kapcsolatos teendőket. A módszertan a kibervédelmi cégeken és a NATO-kapcsolatokon keresztül valószínűleg gyorsan elterjed a nemzetközi gyakorlatban is.

Mint Eric Goldstein, a CISA kiberbiztonságért felelős igazgatóhelyettese írja, a fejlett sebezhetőség-kezelési programokkal rendelkező szervezetek hatékonyabb módszereket keresnek a teendők meghatározására, a kisebb szervezetek meg sok esetben még ott tartanak, hogy szeretnék megérteni a problémát, hogy jobban beoszthassák szűkös erőforrásaikat.

Goldstein szerint három kulcslépésen keresztül vezet az út a megoldáshoz. Először is emelni kell az automatizáció szintjét a sebezhetőség kezelésénél, amiben többek között egy közös biztonsági tanácsadó keretrendszer (CSAF, Common Security Advisory Framework) segít. Be kell vezetni a Vulnerability Exploitability eXchange rendszert (PDF), amely a sebezhetőségek kihasználási lehetőségeinek katalógusa, és ahhoz ad támpontokat különböző gyakorlati eseteken keresztül, hogy adott termékre milyen mértékben hat egy sebezhetőség. A harmadik elem pedig a kategorizálást támogató döntési fa lenne, amely segít meghatározni a beavatkozás sürgősségét és a teendők sorrendjét.

A döntési fa első változatát 2019-ben hozta létre a CISA és a Carnegie Mellon Egyetem szoftvertechnológiai intézete. Majd ezt a CISA továbbfejlesztette, és kidolgozott egy speciális változatot kifejezetten az olyan biztonsági hibák kezelésére, amely a kormányzati és a kritikus infrastruktúrával foglalkozó szervezetek számára releváns. Ennek a továbbgondolásából született a mostani rendszer, amely a különböző szektorokban dolgozó és különböző méretű szervezeteknek egyaránt képes segítséget nyújtani.

Négy alapkérdésből minden levezethető

Négy alapkategóriából vezetnek le mindent. A legalacsonyabb szint a nyomonkövetés (Track). Ez nem igényel semmilyen külön intézkedést, a javítást a szabványos frissítési határidőkön belül kell javítani. A második szint a Track*. Ebben az esetben szigorúbban nyomon kell követni a sérülékenység hatásait, de alapesetben, azaz ha nincs hatása a rendszerek működésére, továbbra is elegendő a szokásos frissítési határidőkön belül telepíteni a javítást. A következő szint az Attend, amikor belső felügyeleti szintű személyek figyelmét igényli a sérülékenység, és a szabványos frissítési határidőknél hamarabb kell javítani. A legmagasabb szint (Act) pedig már vezetői szintű figyelmét és azonnali beavatkozást igényel.

A döntési fa segít a sebezhetőség kihasználtsági állapotának, technikai és üzleti folyamatokra gyakorolt hatásának stb. meghatározásában, valamint annak eldöntésében, hogy a beavatkozás milyen mértékben automatizálható.

A segédeszközt a CISA szerint az ismert sebezhetőségeket összegyűjtő katalógussal, a CSAF-fel és a sebezhetőségek kihasználhatóságát bemutató katalógussal (VEX) együtt érdemes használni.

Biztonság

A Bank of America is óriási zakóra figyelmezteti az MI-befektetőket

A mesterséges intelligenciával kapcsolatos várakozások a részvények példátlan túlértékeléséhez vezetnek, kérdés, hogy az egyensúly az MI ígéreteinek beváltásával vagy sokkal fájdalmasabb módon áll majd helyre.
 
A hurráoptimizmusnak régen vége, a fejlesztések sem technikai köntösben zajlanak már, hanem üzleti, jogi és kockázatkezelési megfontolások dominálnak. Belépőben vagyunk a cloud második korszakába.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.