7.5
IG2 IG3

إجراء فحوصات ثغرات آلية لأصول المؤسسة الداخلية

مجموعة الضابط: 7. الإدارة المستمرة للثغرات الأمنية
نوع الأصل: التطبيقات
وظيفة الأمان: تحديد

الوصف

إجراء فحوصات ثغرات آلية لأصول المؤسسة الداخلية على أساس ربع سنوي أو بشكل أكثر تكرارًا. إجراء كل من فحوصات المصادقة وغير المصادقة باستخدام أداة فحص ثغرات متوافقة مع SCAP.

قائمة التحقق من التطبيق

1
مراجعة متطلبات الضمانة مقارنة بالوضع الحالي
2
تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية
3
تنفيذ الضوابط والإجراءات المطلوبة
4
التحقق من التنفيذ من خلال الاختبار والتدقيق
5
توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Tenable Vulnerability Management Gartner MQ Leader, Vulnerability Management 2024

تقييم مستمر للثغرات الأمنية وإدارة التعرض عبر أصول تقنية المعلومات والسحابة والحاويات والتقنيات التشغيلية

Tenable · اشتراك لكل أصل
Qualys VMDR Gartner MQ Leader, Vulnerability Management 2024

إدارة الثغرات الأمنية السحابية والاكتشاف والاستجابة مع إدارة التصحيحات المتكاملة وجرد الأصول

Qualys · اشتراك لكل أصل
Rapid7 InsightVM Gartner MQ Leader, Vulnerability Management 2024

منصة إدارة الثغرات الأمنية مع لوحات معلومات مباشرة وترتيب أولويات المخاطر وسير عمل المعالجة

Rapid7 · اشتراك لكل أصل

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

ثغرات داخلية مستمرة مستغلة بالتنقل الأفقي

السرية

بدون فحص ثغرات داخلي آلي، يكتشف المهاجمون الذين يحصلون على وصول أولي ويستغلون أنظمة وقواعد بيانات وتطبيقات داخلية غير مصححة لم يتم تقييمها أبداً، مما يمكن التنقل الأفقي السريع عبر البيئة.

استغلال داخلي لنقاط ضعف داخلية غير مكتشفة

السلامة

تستغل الحسابات المطلعة الخبيثة أو المخترقة ثغرات داخلية كان سيكتشفها الفحص الموثق، مثل الخدمات المكونة بشكل خاطئ وبيانات الاعتماد الافتراضية أو التصحيحات المفقودة على خوادم داخلية فقط.

فجوات امتثال من فحوصات داخلية نادرة أو مفقودة

التوفر

بدون فحص داخلي آلي ربع سنوي باستخدام أدوات متوافقة مع SCAP، لا تستطيع المؤسسة إثبات تقييم ثغرات مستمر للمدققين، مما يؤدي إلى نتائج بموجب متطلب PCI DSS 11 أو أطر مماثلة.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود فحص ثغرات داخلي موثق

لا تجري المؤسسة فحوصات ثغرات داخلية بالاعتماد على بيانات الاعتماد، مما يعني أن الماسحات لا تستطيع تقييم إصدارات البرمجيات المثبتة أو التصحيحات المفقودة أو نقاط ضعف التكوين خلف حواجز المصادقة، مما يفقد ما يصل إلى 60% من الثغرات الفعلية.

إيقاع فحص داخلي نادر أو يدوي

يتم إجراء فحوصات الثغرات الداخلية بشكل متقطع أو قبل التدقيقات فقط بدلاً من جدول ربع سنوي آلي، مما يسمح للثغرات الجديدة بالاستمرار دون كشف لفترات طويلة بين نوافذ الفحص.

متطلبات الأدلة

النوع عنصر الدليل تكرار الجمع
وثيقة وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة الثغرات الأمنية
Control 7

الإجراءات الوقائية ذات الصلة في الضابط 7

7.1 إنشاء وصيانة عملية إدارة الثغرات
7.2 إنشاء وصيانة عملية المعالجة
7.3 إجراء إدارة آلية لتصحيحات نظام التشغيل
7.4 إجراء إدارة آلية لتصحيحات التطبيقات
7.6 إجراء فحوصات ثغرات آلية لأصول المؤسسة المكشوفة خارجيًا
7.7 معالجة الثغرات المكتشفة
7.4 7.6