最近,网络安全和基础设施安全局CISA推出了一项新的特定利益相关者漏洞分类SSVC指南,旨在加强对漏洞修补的优先级排序。根据SecurityWeek的报道,CISA的SSVC提供了一种决策树模型,将漏洞分类为四个类别:跟踪Track、跟踪Track、关注Attend和行动Act。这些类别是基于漏洞的利用状态、技术影响、对重要任务功能的影响以及潜在的系统妥协影响。
白鲸vp官网下载CISA表示,这些指导原则应与已知利用漏洞目录Known Exploited Vulnerabilities Catalog、漏洞可利用性交换Vulnerability Exploitability eXchange、常见安全咨询框架Common Security Advisory Framework以及可机器读取的安全建议结合使用。NetRise现场工程总监Derek McCarthy指出:“上下文非常重要,SSVC在确定如何处理特定环境中的漏洞时,考虑了所有相关因素,做了出色的工作。CISA在拓展这方面的工作将有助于提炼出一些更相关的细节,使组织更容易理解并执行反映SSVC框架目标的漏洞管理政策和程序。”
这样的新指南旨在提高组织对漏洞补丁的响应能力,并帮助其建立有效的漏洞管理流程。加强对这些重要工具和框架的利用,将有助于提升整体安全态势,降低潜在的风险。
留言框-
