ضمان أن البرمجيات المصرح بها مدعومة حاليًا
الوصف
ضمان أن البرمجيات المصرح بها فقط مدعومة حاليًا من قبل المورد. البرمجيات غير المدعومة يجب وسمها كغير مدعومة في جرد البرمجيات. مراجعة جرد البرمجيات لدعم المورد مرتين سنويًا على الأقل أو بشكل أكثر تكرارًا.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة إدارة نقاط النهاية الموحدة لتسجيل الأجهزة ونشر البرمجيات والتكوين والامتثال عبر أنظمة التشغيل المختلفة
Microsoft · اشتراك لكل مستخدم أو لكل جهاز
منصة مساحة العمل الرقمية تجمع بين إدارة نقاط النهاية الموحدة وتسليم التطبيقات الافتراضية والوصول بنموذج انعدام الثقة لإدارة نقاط النهاية
Broadcom (VMware) · اشتراك لكل جهاز
منصة إدارة أصول تقنية المعلومات وإدارة أصول البرمجيات مع تحسين التراخيص وإدارة البرمجيات كخدمة
Flexera · اشتراك مؤسسي
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
استغلال ثغرات البرمجيات منتهية الدعم
السلامةلا تتلقى البرمجيات غير المدعومة تصحيحات أمنية بعد الآن، مما يسمح للمهاجمين باستغلال ثغرات CVE المكشوفة علنياً بأكواد استغلال متاحة بسهولة.
استمرار ثغرات اليوم صفر في التطبيقات القديمة
السريةلن يتم تصحيح التطبيقات غير المدعومة ذات ثغرات اليوم صفر من قبل المورد أبداً، مما يمنح المهاجمين قدرات استغلال دائمة ضد تلك الأنظمة.
الثغرات (عند غياب الإجراء الوقائي)
برمجيات غير مدعومة في بيئة الإنتاج بدون ضوابط تخفيفية
يترك تشغيل برمجيات منتهية الدعم بدون استثناءات موثقة وضوابط تعويضية الثغرات المعروفة دون معالجة بشكل دائم في البيئة.
عدم تتبع دورة حياة دعم البرمجيات
بدون مراقبة حالة دعم المورد، لا تدرك المؤسسة متى تنتقل البرمجيات الحرجة إلى نهاية الدعم، وتستمر في الاعتماد عليها دون قبول المخاطر.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |