مدیریت آسیبپذیری یک فعالیت مستمر بوده و پیروزی در آن تقریبا ناممکن است. زیرا زمانی که فکر میکنید از تمام مشکلات خلاص شدید، یک مشکل جدیدی ظاهر میشود. زمانی که فکر میکنید بر مشکلات فرآِیند احاطه دارید، یک فرآیند جدید به وجود میآید. همیشه افراد جدیدی وارد سازمان میشوند که در مجموعه خط مشیها به راهنمایی نیاز دارند. فناوریها و نرمافزارهای جدید بهطور مداوم منتشر/بهروزرسانی میشوند. بنابراین نیاز به یک مدل فکری برای مدیریت پچ (Patch Management) به فرآیندی گفته میشود که شامل شناسایی، دریافت، آزمایش و نصب وصلههای نرمافزاری (patch) یا بهروزرسانیهای نرمافزاری و سختافزاری است. این کار به منظور حفظ امنیت سیستمها و نرمافزارها و جلوگیری از آسیبپذیریها انجام میشود. برای مدیران وجود دارد.
هسته اصلی این مدل، پنج حوزه آمادگی، شناسایی، تجزیه تحلیل، ارتباط و اصلاح دارد.
آمادگی (Prepare):
در این حوزه، بر روی اصول اصلی یک برنامه مدیریت آسیبپذیری موفق یعنی سیاستها و محتوا تمرکز شده است.
شناسایی (Identify):
در این حوزه به کمک سه روش، خودکار، دستی و خارجی آسیبپذیریها شناسایی میشوند.
تجزیه و تحلیل (Analyze):
این بخش همه چیز در مورد دادهها است: نحوه نگاه کردن، دسته بندی و اولویتبندی آسیبپذیریهای شناسایی شده. این بخش دارای دو زیر حوزه است: اولویتبندی و تحلیل علت ریشهای
ارتباط (communicate):
بعد از در دست داشتن همه اطلاعات، باید در قالبی قابل استفاده اطلاعات به دیگران ارسال شود. در این حوزه دو بخش وجود دارد: گزارشدهی و هشدار
اصلاح (Treat):
تمام کارهایی که برای رفع مشکلات لازم داریم در سه بخش مدیریت تغییر، مدیریت پچ و مدیریت پیکربندی انجام میشود.
فرآیند به بلوغ رسیدن اجرای این پنج مرحله در ۵ سطح تعریف میشود:سطح ۱: مقدماتی
سطح ۲: مدیریت شده
سطح ۳: تعریف شده
سطح ۴: مدیریت کمی
سطح ۵: بهینهشده
برای رسیدن به بلوغ مدیریت آسیبپذیری باید از سطح ۱ شروع کرد. به عنوان مثال برای سیاستگذاری در بخش آمادگی مراحل بلوغ آن عبارتند از:
سطح ۱: خطمشیها آماده و مستند نیستند و یا در حال تغییر هستند.
سطح ۲: انتخاب درست بهترین استانداردها و سیاستها.
سطح ۳: استانداردهای انتخاب شده در صورت نیاز بهروزرسانی میشوند، کارکنان از استانداردها آگاه شده و آموزش در مورد الزامات وجود دارد.
سطح ۴: پایبندی به سیاستها پیگیری میشود و انحرافات برجسته میشوند. آموزش سالیانه وجود دارد.
سطح ۵: کنترلهای خودکار و فعال سیاستها و استانداردها را اجرا میکنند و ورودیهایی را برای بهروزرسانیهای منظم و الزامات آموزشی ارائه میدهند.
نویسنده: زهرا سهرابی، مدیر آکادمی فن افزا
