Обновил схему Базовой Оценки Состояния Процесса Управления Уязвимостями (БОСПУУ). Теперь там 4 компонента:
🔻 Адекватность используемых решений по детектированию уязвимостей
🔻 Анализ уязвимостей и заведение задач на устранение уязвимостей 🆕
🔻 Охват инфраструктуры, работа с активами и ответственными за устранение уязвимостей
🔻 Отслеживание выполнения SLA по задачам на устранение уязвимостей для скоупов активов
По сравнению с версией 0.0.5, разнёс работу с активами/ответственными и анализ уязвимостей/заведение задач на исправление. Подрихтовал формулировки, чтобы было меньше неоднозначного. Сознательно убрал про сканирование сетей - это укладывается в "нет активов без регулярных проверок на уязвимости".
Это всё ещё драфт, но вроде выглядит уже более-менее прилично и кажется, что всё основное в VM-процессе охватывает. Можно потихоньку отвечать на критику от Алексея Лукацкого. 😉
Если видите недочёты - не стесняйтесь, пишите в личку @leonov_av. 🙂
Уведомление: БОСПУУ и светофоры | Александр В. Леонов
Уведомление: Тоже сделал мемчик с крутым Юсуфом Дикечем | Александр В. Леонов
Уведомление: Защита на 100%? | Александр В. Леонов
Уведомление: Посмотрел совместный вебинар Vulners и RST Cloud про приоритизацию уязвимостей | Александр В. Леонов
Уведомление: Оценка адекватности используемых решений по детектированию уязвимостей | Александр В. Леонов
Уведомление: Базовая Оценка Состояния Процесса Управления Уязвимостями (БОСПУУ): предварительная схема по текстовому описанию | Александр В. Леонов
Уведомление: Уязвимости Шрёдингера и безусловный патчинг | Александр В. Леонов
Уведомление: А можно мне, пожалуйста, не заниматься оценкой адекватности средств детектирования уязвимостей? | Александр В. Леонов