IG1 IG2 IG3

إنشاء وصيانة عملية إدارة الثغرات

مجموعة الضابط: 7. الإدارة المستمرة للثغرات الأمنية

نوع الأصل: التطبيقات

وظيفة الأمان: حماية

الوصف

إنشاء وصيانة عملية موثقة لإدارة الثغرات لأصول المؤسسة. مراجعة وتحديث الوثائق سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Tenable Vulnerability Management Gartner MQ Leader, Vulnerability Management 2024

تقييم مستمر للثغرات الأمنية وإدارة التعرض عبر أصول تقنية المعلومات والسحابة والحاويات والتقنيات التشغيلية

Tenable · اشتراك لكل أصل

Qualys VMDR Gartner MQ Leader, Vulnerability Management 2024

إدارة الثغرات الأمنية السحابية والاكتشاف والاستجابة مع إدارة التصحيحات المتكاملة وجرد الأصول

Qualys · اشتراك لكل أصل

Rapid7 InsightVM Gartner MQ Leader, Vulnerability Management 2024

منصة إدارة الثغرات الأمنية مع لوحات معلومات مباشرة وترتيب أولويات المخاطر وسير عمل المعالجة

Rapid7 · اشتراك لكل أصل

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

استجابة ثغرات مخصصة تؤدي إلى فقدان ثغرات CVE حرجة

السرية

بدون عملية إدارة ثغرات موثقة، تتم معالجة الثغرات الحرجة مثل Log4Shell أو MOVEit بشكل غير متسق، حيث تصحح بعض الفرق فوراً بينما تبقى أخرى مكشوفة لأشهر.

أولوية ثغرات غير متسقة تمكّن الاستغلال

السلامة

يعني غياب عملية رسمية أن الثغرات تُصنف بناءً على الحكم الفردي بدلاً من معايير قائمة على المخاطر، مما يسمح لثغرات عالية الخطورة في الأصول المواجهة للإنترنت بالاستمرار بينما تستهلك مشكلات داخلية منخفضة المخاطر موارد المعالجة.

عدم امتثال تنظيمي من معالجة ثغرات غير موثقة

التوفر

يجد المدققون والجهات التنظيمية عدم وجود دليل على برنامج إدارة ثغرات منظم، مما يؤدي إلى فشل الامتثال وغرامات محتملة بموجب أطر مثل PCI DSS أو HIPAA التي تفرض إدارة ثغرات موثقة.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود سياسة أو إجراءات محددة لإدارة الثغرات

لا تمتلك المؤسسة سياسة مكتوبة تحدد مسؤوليات تحديد الثغرات وتقييمها ومعالجتها، تاركة كل فريق يتعامل مع الثغرات بشكل مستقل دون مساءلة.

أدوار ومسؤوليات غير محددة لمعالجة الثغرات

بدون عملية موثقة، لا توجد ملكية واضحة لفحص الثغرات أو الفرز أو المعالجة أو الموافقة على الاستثناءات، مما يتسبب في سقوط الثغرات الحرجة بين فرق تقنية المعلومات والأمان.

عدم وجود إطار تصنيف خطورة الثغرات

تفتقر المؤسسة إلى مخطط تصنيف خطورة موحد (مثل حدود CVSS) لتحديد أولويات معالجة الثغرات، مما يؤدي إلى معالجة غير متسقة لمخاطر مماثلة عبر وحدات الأعمال.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة الثغرات الأمنية

Control 7

الإجراءات الوقائية ذات الصلة في الضابط 7

7.2 إنشاء وصيانة عملية المعالجة

7.3 إجراء إدارة آلية لتصحيحات نظام التشغيل

7.4 إجراء إدارة آلية لتصحيحات التطبيقات

7.5 إجراء فحوصات ثغرات آلية لأصول المؤسسة الداخلية

7.6 إجراء فحوصات ثغرات آلية لأصول المؤسسة المكشوفة خارجيًا

7.7 معالجة الثغرات المكتشفة