漏洞管理与合规相辅相成。正如遵循特定监管标准有助于有效管理漏洞,有效管理漏洞也有助于规避可致违规的安全事件。 |
但鉴于不同监管机构标准不同,既有效且合规的漏洞管理对不同组织机构而言可能意味着不同的东西。但有一个例外:风险!所有标准都强调了风险!具体有:
PCI DSS 要求 6.1 声明:公司企业必须 “设立漏洞发现过程,并为新发现的安全漏洞赋予风险评分。” GDPR 第 32 条要求:实现 “恰当的技术性或组织性措施以确保适合风险情况的安全水平。” HIPAA 安全规则强制要求:“评估电子健康信息的机密性、完整性和可用性所面临的潜在风险与漏洞。” GLBA 安全规定要求:公司企业须 “识别并评估客户信息风险,评估当前风险控制安全措施的有效性。”
很多监管标准都要求评估风险并以此做出恰当响应才能达成并维持合规,以上几条不过摘录一二而已。在漏洞管理语境下,如 PCI DSS 要求 6.1 所述,合规就意味着基于风险给漏洞排序并修复。
但由于漏洞对各家公司意义不同,要做到按风险管理漏洞并不容易。准确评估首先要确定:
漏洞武器化的概率有多高;
如果武器化,对特定公司的影响是什么。
想要确定这几个变量,以下建议可供参考: