В воскресенье со своими девчонками ходил на балет "Золушка" в Театр на Цветном. Появился повод поразмышлять о том, как эта сказка перекликается с Vulnerability Management процессом. 😉

О чём она? О том, что безрадостное существование может измениться к лучшему. ✨ Так к VM-щику, который тянет весь процесс на себе, борется по мере сил с IT-шным хамством и саботажем, старается, чтобы все активы были покрыты, все уязвимости были продетектированы, учтены и устранены, однажды спустится C-level фея-крёстная. 🧙‍♀️🪄

🔹 Отвалит бюджет на нормальное VM-решение. 🎃➡️🏎

🔹 Промотивирует дорогих коллег перестать крысить и впрячься в совместную работу. 🐀➡️🐴

Жаль, что так бывает только в сказках. Да и там ненадолго. 🕛😉

В реальности VM-щику, у которого начало что-то получаться, запросто могут назначить "созвон с руководителем и HRBP". 🤷‍♂️ А у C-level феи-крёстной может быть своя agenda и следовать её советам следует с осторожностью (а то будет, как в песне Пикника 😉).

Сходили сегодня в театр на детский спектакль "Кентервильское привидение". Если помните, по новелле Оскара Уайльда или советскому мультфильму, там сюжет строится на том, что американская семья приобретает замок с привидением и успешно его курощает.

Я смотрел и размышлял, что ITшник, который под различными предлогами отказывается устранять уязвимости во вверенной ему инфраструктуре, напоминает такое привидение, которое гремит цепями, зловеще завывает и рисует на полу "несмываемые" кровавые пятна. То есть уверяет всех, что обновить системы невозможно, что это приведёт к катастрофическим последствиям и что единственный вариант - оставить всё как есть. А VMщикам убираться подальше. 😉

И бороться с этим следует методами тех американцев. Не вестись: удалять пятна пятновыводителем, смазывать цепи, давать микстуру от завываний, а на запугивания запугивать в ответ. 😈

А в конце можно и помочь демотивированному привидению, когда оно будет готово принять помощь.

Сходили сегодня на детский спектакль "Золотая антилопа", в результате я сформулировал принципы Управления Уязвимостями по методу хитрого Раджи. 🤴🙂

1. К продетектированным уязвимостям относись как к золоту, которого "не может быть слишком много". Стремись обладать наиболее качественными средствами детектирования, своей "золотой антилопой". 🦌🔍

2. Нормальное управление уязвимостями возможно только при наличии реальных рычагов давления, аналогичных мотивированному исполнительному палачу: "позволь я отрублю ему голову". ⚔️😈

3. Одного детектирования уязвимостей недостаточно. Необходимо инвестировать в приоритизацию и автоматизацию их устранения. Иначе "золото превратится в черепки", а уязвимости - в реальные инциденты, в результате чего ты потеряешь своё место. 💥👨‍💻

4. Никогда не принимай отказа в устранении уязвимостей. Всегда требуй поэтапный план устранения с зафиксированными дедлайнами. Если не готовы отдать буйвола, пусть отдают "ногу буйвола". 🐃😉