7.2
IG1 IG2 IG3

إنشاء وصيانة عملية المعالجة

مجموعة الضابط: 7. الإدارة المستمرة للثغرات الأمنية
نوع الأصل: التطبيقات
وظيفة الأمان: استجابة

الوصف

إنشاء وصيانة عملية معالجة مبنية على المخاطر موثقة في جداول زمنية للمعالجة مع المراجعة الشهرية على الأقل.

قائمة التحقق من التطبيق

1
مراجعة متطلبات الضمانة مقارنة بالوضع الحالي
2
تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية
3
تنفيذ الضوابط والإجراءات المطلوبة
4
التحقق من التنفيذ من خلال الاختبار والتدقيق
5
توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Tenable Vulnerability Management Gartner MQ Leader, Vulnerability Management 2024

تقييم مستمر للثغرات الأمنية وإدارة التعرض عبر أصول تقنية المعلومات والسحابة والحاويات والتقنيات التشغيلية

Tenable · اشتراك لكل أصل
Qualys VMDR Gartner MQ Leader, Vulnerability Management 2024

إدارة الثغرات الأمنية السحابية والاكتشاف والاستجابة مع إدارة التصحيحات المتكاملة وجرد الأصول

Qualys · اشتراك لكل أصل
Rapid7 InsightVM Gartner MQ Leader, Vulnerability Management 2024

منصة إدارة الثغرات الأمنية مع لوحات معلومات مباشرة وترتيب أولويات المخاطر وسير عمل المعالجة

Rapid7 · اشتراك لكل أصل

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

استغلال ثغرات بدون اتفاقية مستوى خدمة للمعالجة

السرية

يستغل المهاجمون ثغرات معروفة تستمر لأشهر لأنه لا يوجد جدول زمني معالجة قائم على المخاطر، مما يسمح لجهات التهديد بتسليح الاستغلالات العامة قبل تطبيق التصحيحات بوقت طويل.

هجمات التراجع عن التصحيح بسبب معالجة غير مختبرة

التوفر

بدون عملية معالجة منظمة، تتسبب التصحيحات المطبقة على عجل في عدم استقرار النظام ويتم التراجع عنها، مما يعيد كشف الثغرة بينما تسعى المؤسسة لإيجاد حل مستقر.

إساءة استخدام الاستثناءات من تأجيل المعالجة غير المُدار

السلامة

يتم تأجيل الثغرات بشكل دائم بدون قبول مخاطر موثق أو ضوابط تعويضية، مما يخلق تراكماً متزايداً من الأنظمة غير المصححة التي تتراكم فيها نقاط الضعف القابلة للاستغلال بمرور الوقت.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود جداول زمنية للمعالجة قائمة على المخاطر

لا تمتلك المؤسسة اتفاقيات مستوى خدمة محددة تربط خطورة الثغرة بمواعيد نهائية للمعالجة (مثل الحرجة خلال 48 ساعة، والعالية خلال 14 يوماً)، مما يسمح للثغرات الخطيرة بالبقاء مفتوحة إلى أجل غير مسمى.

عدم وجود عملية رسمية للاستثناء أو قبول المخاطر

عندما لا يمكن معالجة الثغرات فوراً، لا توجد عملية لتوثيق الاستثناءات أو الضوابط التعويضية أو قرارات قبول المخاطر، تاركة الأنظمة غير المصححة بدون أي إشراف مخفف.

متطلبات الأدلة

النوع عنصر الدليل تكرار الجمع
وثيقة وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة الثغرات الأمنية
Control 7

الإجراءات الوقائية ذات الصلة في الضابط 7

7.1 إنشاء وصيانة عملية إدارة الثغرات
7.3 إجراء إدارة آلية لتصحيحات نظام التشغيل
7.4 إجراء إدارة آلية لتصحيحات التطبيقات
7.5 إجراء فحوصات ثغرات آلية لأصول المؤسسة الداخلية
7.6 إجراء فحوصات ثغرات آلية لأصول المؤسسة المكشوفة خارجيًا
7.7 معالجة الثغرات المكتشفة
7.1 7.3