IG2 IG3

إجراء فحوصات ثغرات آلية لأصول المؤسسة المكشوفة خارجيًا

مجموعة الضابط: 7. الإدارة المستمرة للثغرات الأمنية

نوع الأصل: التطبيقات

وظيفة الأمان: تحديد

الوصف

إجراء فحوصات ثغرات آلية لأصول المؤسسة المكشوفة خارجيًا باستخدام أداة فحص ثغرات متوافقة مع SCAP. إجراء الفحوصات شهريًا أو بشكل أكثر تكرارًا.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Tenable Vulnerability Management Gartner MQ Leader, Vulnerability Management 2024

تقييم مستمر للثغرات الأمنية وإدارة التعرض عبر أصول تقنية المعلومات والسحابة والحاويات والتقنيات التشغيلية

Tenable · اشتراك لكل أصل

Qualys VMDR Gartner MQ Leader, Vulnerability Management 2024

إدارة الثغرات الأمنية السحابية والاكتشاف والاستجابة مع إدارة التصحيحات المتكاملة وجرد الأصول

Qualys · اشتراك لكل أصل

Rapid7 InsightVM Gartner MQ Leader, Vulnerability Management 2024

منصة إدارة الثغرات الأمنية مع لوحات معلومات مباشرة وترتيب أولويات المخاطر وسير عمل المعالجة

Rapid7 · اشتراك لكل أصل

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

استغلال ثغرة مواجهة للإنترنت بماسحات آلية

السرية

تفحص الجهات المهددة باستمرار الأصول المواجهة للإنترنت باستخدام أدوات مثل Shodan وCensys لتحديد الثغرات القابلة للاستغلال في خوادم الويب وبوابات VPN وأنظمة البريد الإلكتروني التي لم تكتشفها المؤسسة من خلال فحصها الخارجي.

اختراق خدمة محيطية عبر أخطاء تكوين غير مكتشفة

السلامة

يتم اكتشاف واستغلال الخدمات المكشوفة خارجياً ذات أخطاء التكوين مثل لوحات الإدارة المفتوحة ونقاط نهاية API المكشوفة أو تكوينات TLS الضعيفة من قبل المهاجمين قبل أن تحددها المؤسسة من خلال فحص الثغرات الخارجي.

استغلال أصول مواجهة للإنترنت ظلية

السرية

تحتوي الأصول المكشوفة خارجياً التي تم توفيرها خارج إدارة التغيير العادية، مثل خوادم التطوير أو بيئات الاختبار، على ثغرات حرجة لا يتم فحصها أبداً لأنه لا يوجد برنامج فحص خارجي آلي.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود برنامج فحص ثغرات خارجي آلي

لا تجري المؤسسة فحوصات ثغرات آلية منتظمة لسطح هجومها الخارجي، تاركة الأصول المواجهة للإنترنت دون تقييم بينما يستقصيها المهاجمون باستمرار بحثاً عن نقاط ضعف.

نطاق أصول خارجي غير مكتمل للفحص

تغطي فحوصات الثغرات الخارجية فقط نطاقات IP والنطاقات المعروفة، مما يفتقد الأصول المستضافة سحابياً ونقاط نهاية CDN والخدمات المستضافة لدى أطراف ثالثة وتقنية المعلومات الظلية المكشوفة للإنترنت.

تكرار الفحص أقل من الإيقاع الشهري

يتم إجراء الفحوصات الخارجية ربع سنوياً أو أقل بدلاً من شهرياً، مما يخلق نوافذ تعرض حيث تمر الثغرات المنشورة حديثاً في أنظمة المحيط دون كشف لفترات طويلة.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة الثغرات الأمنية

Control 7

الإجراءات الوقائية ذات الصلة في الضابط 7

7.1 إنشاء وصيانة عملية إدارة الثغرات

7.2 إنشاء وصيانة عملية المعالجة

7.3 إجراء إدارة آلية لتصحيحات نظام التشغيل

7.4 إجراء إدارة آلية لتصحيحات التطبيقات

7.5 إجراء فحوصات ثغرات آلية لأصول المؤسسة الداخلية

7.7 معالجة الثغرات المكتشفة