Grundprinzipien des risikobasierten Schwachstellen-Managements

Abschnitt 1: Risikobasiertes Schwachstellen-Management Uberblick化生

---

是什么risikobasiertes Schwachstellen-Management吗?

Risikobasiertes Schwachstellen-Management(基于风险的脆弱性管理,RBVM)是静脉Teilbereich贝姆网络Exposure-Management和unterstutzt您dabei, Risiken祖茂堂identifizieren祖verwalten,死国际卫生条例Unternehmen gefahrden。

贝risikobasiertem Schwachstellen-Management来Machine-Learning-Analysen zum Einsatz,嗯窝Schweregrad冯Schwachstellen和死Aktivitaten冯Bedrohungsakteuren麻省理工学院der Kritikalitat祖茂堂verknupfen冯资产。Dadurch您能Schwachstellen死去,死das großte Risiko皮草国际卫生条例Unternehmen darstellen, priorisieren和beheben——Schwachstellen麻省理工学院geringerem Risiko一张nachrangige Prioritat zuweisen。

RBVM baut auf herkommlichen Schwachstellen-Management-Verfahren和hilft您dabei汪汪汪,您Schwachstellenuberlastung嗯祖茂堂reduzieren bis祖茂堂97%,indem死前3% der Schwachstellen ermittelt了,死das großte Risiko皮草国际卫生条例Unternehmen darstellen。

Wodurch unterscheiden西奇risikobasiertes Schwachstellen-Management和herkommliches Schwachstellen-Management吗?

HerkommlicheSchwachstellen-Management-Toolsbilden das theoretische Risiko毛皮国际卫生条例Unternehmen ab。您请,welche Bedrohungen军队一张Schwachstelle在您Umgebung gelangen德国,ohne dabei祖茂堂verdeutlichen,冯welchen Bedrohungen tatsachlich Risiken ausgehen。死Konsequenz:贝民主党Versuch Schwachstellen祖茂堂beheben,冯denen凯文konkretes Risiko皮草国际卫生条例Unternehmen ausgeht,萤石西奇国际卫生条例Sicherheitsteam verzetteln和dadurch是Schwachstellen ubersehen,死西奇麻省理工学院großerer Wahrscheinlichkeit再见您Geschaftsablaufe auswirken。

Risikobasiertes Schwachstellen-Management hingegen leistet较多,als努尔Schwachstellen祖茂堂erfassen。Es unterstutzt您欧什dabei, Risiken z麻省民主党jeweiligen Bedrohungskontext nachzuvollziehen,和bietet您Einblick在potenzielle geschaftliche Auswirkungen,死麻省理工的估计值Risiken verbunden信德。

Herkommliches Schwachstellen-Management liefert zudem Unmengen冯Schwachstellendaten ohne konkrete Erkenntnisse祖茂堂der Frage, welche Schwachstellen先behoben了sollten。麻省理工学院risikobasiertem Schwachstellen-Management帽子这本Ratselraten不可或缺。

Es trifft祖茂堂,dass herkommliches Schwachstellen-Management您hilft, Risiken祖茂堂erfassen。然而贝der angemessenen Priorisierung im Hinblick auf Frage死去,冯welchen Bedrohungen tatsachlich Risiken皮草国际卫生条例Unternehmen ausgehen,坚持es keine große帮助——和静脉modernen Angriffsoberflache麻省理工学院永远mehr Bedrohungen是es不gewachsen。

Aufgrund der Komplexitat我Angriffsoberflache萤石您herkommliches Schwachstellen-Management keinen vollstandigen Einblick在samtliche Gerate,死国际卫生条例Netzwerk durchlaufen,和死该死verbundenen Risiken bieten。Denn您现代Angriffsoberflache坚持不较多努尔herkommliche it资产beschrankt。死heutige Angriffsoberflache umfasst web应用程序、Cloud-Infrastruktur Mobilgerate,容器,IoT-Gerate(互联网der黑人),IIoT-Gerate(互联网产业政策der黑人)和手术Technologien (OT),死konvergieren和西奇麻省理工学院我IT-Infrastruktur verbinden。

Herkommliches Schwachstellen-Management fuhrt祖茂堂blinden Flecken,死risikobasiertes Schwachstellen-Management besser zum Vorschein bringen萤石。Dadurch您能uberblicken,我们moglicherweise Schwachen在古老而bestehenden Sicherheitsprogrammen vorliegen。

贝einem risikobasierten拟设毛皮das Schwachstellen-Management萤石西奇国际卫生条例团队改模wichtigsten Schwachstellen和资产konzentrieren das tatsachliche Geschaftsrisiko reduzieren, anstatt kostbare时间麻省理工学院Schwachstellen祖verschwenden贝denen es错的sehr wahrscheinlich坚持,dass Angreifer您ausnutzen。

Einige weitere Punkte, denen西奇RBVM和herkommliches VM unterscheiden:

Herkommliches Schwachstellen-Management

• Bewertet traditionelle On-Prem-IT-Assets, z。B。
• 台式电脑
• 服务器
• 在Ihrem Gerate Netzwerk
• 在我Ignoriert现代Gerate Angriffsoberflache, z。B。
• 网络应用程序
• Mobilgerate
• Cloud-Infrastruktur
• 物联网
• IIoT
• 容器
• 不
• Hinterlasst blinde Flecken和setzt国际卫生条例Unternehmen Risiken来自
• Erfullt静脉MindestmaßCompliance-Anforderungen
• Stellt statische Momentaufnahmen我Schwachstellendaten bereit
• 是reaktiv

Risikobasiertes Schwachstellen-Management

• Ermoglicht Bewertung冯traditionellen是不是欧什modernen资产
• Nutzt maschinelles Lernen苏珥Kombination冯Schwachstellendaten麻省理工学院Asset-Kritikalitat威胁情报和Exploit-Intelligence,嗯死Auswirkungen静脉Schwachstelle auf国际卫生条例Unternehmen vorherzusagen
• 苏珥Risikoreduzierung Nutzt最佳实践
• Macht您资产和Schwachstellen kontinuierlich和dynamisch向
• 是proaktiv和fokussiert

Abschnitt 2: Prozesse des risikobasierten Schwachstellen-Managements

---

Implementierung进行risikobasierten拟设毛皮国际卫生条例Schwachstellen-Management-Programm

嗯您现代Angriffsoberflache besser伏尔Bedrohungen祖schutzen是es der时间,靠窗户risikobasierten拟设皮草国际卫生条例bestehendes Schwachstellen-Management-Programm祖茂堂implementieren。这位拟设萤石Ihrem Unternehmen helfen,冯einem——它和汪汪汪Infrastruktur吧台工具和Ressourcen uberzugehen,死皮杯effizienteren舒兹我gesamten Angriffsoberflache notwendig信德。

静脉肠道Ausgangspunkt besteht达林,西奇伏尔眼球状祖茂堂fuhren,是不是静脉Prozess毛皮risikobasiertes古老Schwachstellen-Management再见接触网络的生命周期abgestimmt坚持。Der Prozess sieht folgendermaßen来自:

• Erfassen:Identifizieren您所有您的资产和ordnen您您祖茂堂zunachst,嗯vollstandigen Einblick在您Computing-Umgebungen祖茂堂erhalten。
• Bewerten:Bewerten您samtliche资产在所有古老而Umgebungen Schwachstellen汪汪汪,Fehlkonfigurationen制裁Sicherheitsprobleme。
• Priorisieren:军队静脉Verstandnis des Kontexts我Gefahrdungen您能Behebungsmaßnahmen anhand冯·Asset-Kritikalitat Schwachstellen-Schweregrad和Bedrohungskontext priorisieren。
• Beheben:Priorisieren您,welche Schwachstellen我Aufmerksamkeit先bedurfen,和凯特琳您丹geeignete Maßnahmen苏珥Behebung奥得河Risikominderung。
• Messen:Vollziehen您您网络曝光票,该死您Cyberrisiken berechnen, kommunizieren和实习生和麻省理工学院ahnlichen Unternehmen der布兰切vergleichen能帮,嗯Sicherheits -和Geschaftsfragen bessere Entscheidungen祖茂堂treffen。

最佳实践des risikobasierten Schwachstellen-Managements

在我Blinde Flecken Angriffsoberflache setzen国际卫生条例Unternehmen Risiken来自。您要是静脉Gerat在Ihrem Netzwerk不im耀光抗议奥得河不wissen, welche Schwachstellen您资产aufweisen德国,您能您Angriffsoberflache欧什不prazise absichern。

Heutzutage得意思mehr努尔schutzen herkommliche资产。在国际卫生条例Unternehmen您benotigen vollstandigen Einblick该死您jed麻省理工学院Ihrem Netzwerk verbundene Endgerat和窝gesamten Datenverkehr uberblicken能帮——ungeachtet der jeweiligen Haufigkeit奥得河Kurzlebigkeit。

Herkommliches Schwachstellen-Management是tendenziell reaktiv。麻省理工学院einem proaktiveren Sicherheitsansatz der军队死亡Umstellung汪汪汪杯risikobasierten拟设毛皮das Schwachstellen-Management entsteht,您能国际卫生条例Unternehmen哒besser absichern。

海尔einige最佳Practice-Empfehlungen:

• Erfassen和analysieren您Daten kontinuierlich——超级您对Angriffsoberflache你。
• 您超级死traditionelle hinaus和schließen您所有您Endgerate Cloud-Umgebungen, Mobilgerate,网络应用,容器和物联网,IIoT和麻省理工学院的静脉。
• Nutzen您Prozessautomatisierung,嗯您Prozesse祖茂堂optimieren,她大约Konfigurationsmanagement,资产管理,Vorfallsreaktion Anderungsmanagement。
• Stellen您改一张Losung毛皮risikobasiertes Schwachstellen-Management麻省理工学院•莱克特说verstandlichen Analysen和anpassbaren Berichten嗯。dass Stellen您西歇尔这Berichte窝Anforderungen国际卫生条例Unternehmens entsprechen和zudem skalierbar信德,嗯麻省理工学院Veranderungen和Wachstum schritt祖茂堂halten。
• Nutzen您Berichte和Analysen,嗯wichtige涉众超级Erfolge和Lucken国际卫生条例节日祖茂堂informieren影响。科技Daten Rollenspezifische Erkenntnisse helfen dabei, auf一杯艺术和怀斯祖kommunizieren死杰德versteht——unabhangig von der individuellen Cybersecurity-Kompetenz。是的您这Berichte贝Gesprachen麻省理工学院Fuhrungskraften uber das主题Sicherheit Thema那些Unternehmensziele汪汪汪和-vorgaben ab。
• Nutzen您Analysen和Daten,恩祖ermitteln以色列立肠道您团队资产inventarisieren Informationen祖茂堂Bewertungszwecken sammeln。Vergessen您dabei走错,Kennzahlen苏珥Erfolgsmessung祖berucksichtigen festzustellen,是不是erfolgreich国际卫生条例团队priorisierte Schwachstellen behebt, einschließlich der verwendeten Prozesse和时间bis苏珥Behebung。

Abschnitt 3:扫描和Erfassung

---

这是Sicherheitsschwachstelle吗?

明信片Sicherheitslucke静脉Softwaredefekt只是静脉Programmierfehler,军队窝静脉Sicherheitsrisiko entsteht。Im Zusammenhang麻省理工学院Ihrem Schwachstellen-Management-Programm信德这Schwachstellen als Schwachpunkte祖betrachten死国际卫生条例Unternehmen anfallig毛皮Angriffe麦臣。

是什么aktives Scannen吗?

Aktives Scannen是静脉Prozess des Schwachstellen-Managements der您detaillierte Informationen祖茂堂所有古老而资产liefert和那些Auskunft daruber有,ob offene港口vorhanden信德,ob恶意软件这一古老而改Geraten vorliegt, welche软件我们installiert坚持和ob problematische Sicherheitskonfigurationen bestehen。

Uncredentialed-Scans(欧什als不authentifizierte扫描bezeichnet), Credentialed-Scans(欧什als authentifizierte扫描bezeichnet)和agentenbasierte扫描信德allesamt Varianten冯aktivem Scannen。

Abschnitt 4: Priorisierung

---

预测是什么优先级和welche罗尔spielt es贝risikobasiertem Schwachstellen-Management吗?

Herkommliches Schwachstellen-Management liefert Unmengen冯·Schwachstellendaten wodurch es毛皮您Sicherheitsteams schwierig——要是错的雀鳝unmoglich——是Nachforschungen anzustellen和herauszufinden, welche Schwachstellen贝der Behebung Prioritat抗议。

贝risikobasiertem Schwachstellen-Management hingegen来工具zum Einsatz,麻省理工学院deren帮助您您tatsachlichen Risiken priorisieren”森肯能帮您Schwachstellenuberlastung嗯97%。

预测优先级冯站得住脚的bietet您一张effektive Moglichkeit苏珥Priorisierung我Schwachstellen。预测优先级starkt您Schwachstellen-Management-Prozesse, weil es死Anzahl der Schwachstellen senkt,死您sofortige Aufmerksamkeit erfordern,和死亡3% der Schwachstellen bestimmt,死先beheben sollten。

预测优先级stutzt西奇auf maschinelles Lernen,嗯死wenigen Schwachstellen祖identifizieren死das großte Risiko皮草国际卫生条例Unternehmen darstellen,和bietet您杯kontinuierlichen vollstandigen Einblick在您现代Angriffsoberflache。

预测优先级nutzt Schwachstellendaten冯成立和kombiniert您麻省理工学院Schwachstellen -和Bedrohungsdaten冯Dritten。麻省理工学院einem fortschrittlichen Data-Science-Algorithmus der·冯·站得住脚的entwickelt,了这Daten丹gemeinsam analysiert。

军队杯risikobasierten拟设苏珥umfassenden Schwachstellenanalyse ermittelt预测优先级、麻省理工学院哪个Wahrscheinlichkeit Angreifer一张Schwache zum Nachteil国际卫生条例Unternehmens auszunutzen德国。

109.000预测优先级将jede纳赫特aktualisiert和analysiert Schwachstellen分开。Im德奥合并

“es vorher, ob Angreifer一张Schwachstelle不Zukunft ausnutzen德国。

Im Gegensatz zum普通危险得分系统(CVSS), das traditionell贝姆herkommlichen Schwachstellen-Management zum Einsatz她和新一轮uber 60%通向Schwachstellen als„Kritisch“奥得河„霍克”eingestuft了,怀斯特预测优先级jed Schwachstelle静脉脆弱性优先级评级(冲程体积)和一杯资产临界评级(ACR)祖茂堂,嗯死Priorisierung冯Schwachstellen毛皮Behebungsmaßnahmen祖茂堂unterstutzen。

CVSS,冲程体积和ACR的im联合ausfuhrlicher behandelt。

静脉脆弱性优先级评级(冲程体积)是什么?

贝姆herkommlichen Schwachstellen-Management bildet das普通危险得分系统(CVSS) das theoretische Risiko ab, das一张Schwachstelle potenziell麻省理工学院西奇bringen konnte。

CVSS-Bewertungen bewegen西奇静脉汪汪汪斯卡拉·冯·0 (niedrigste Prioritat) bis 10 (kritischste Einstufung)。很遗憾,去了rund 60% Schwachstellen新一轮CVSS麻省理工学院静脉„hohen“奥得河„kritischen”CVSS-Bewertung versehen, selbst您要是皮草国际卫生条例Unternehmen moglicherweise kaum静脉Risiko darstellen。

韦德Das CVSS tragt民主党konkreten Risiko还有der Kritikalitat der einzelnen资产我Umgebung帐单。死信德jedoch entscheidende Informationen,死您苏珥effektiven Priorisierung冯Behebungsmaßnahmen benotigen。

贝risikobasiertem Schwachstellen-Management baut预测优先级冯站得住脚的民主党CVSS汪汪汪和antizipiert汪汪汪,麻省理工学院哪个Wahrscheinlichkeit静脉Bedrohungsakteur一张Schwachstelle ausnutzt。Daruber hinaus unterscheidet预测优先级来konkreten theoretischen Risiken。站得住脚的erganzt das CVSS的军队静脉脆弱性优先级评级(冲程体积)和静脉资产临界评级(ACR)。

Das冲程体积vermittelt您杯besseren Einblick Risiken, da es Bedrohungs——和Angriffsreichweite Schwachstellenauswirkungen和Bedrohungsbewertungen enthalt。Das ACR hingegen有死Kritikalitat jed资产Ihrem Netzwerk非basierend auf mehreren wichtigen Faktoren。

站得住脚的berechnet das冲程体积毛皮死meisten Schwachstellen和aktualisiert es regelmaßig,汽水es der aktuellen Bedrohungslandschaft entspricht。

Das冲程体积nutzt杯机Learning-Algorithmus和威胁情报,嗯jede Schwachstelle祖analysieren der jemals死去国家漏洞数据库(NVD) veroffentlicht,。国际清算银行拿督144.000 Schwachstellen der NVD veroffentlicht wurden快。Schwachstellen,死在der NVD不aufgefuhrt信德,erhalten凯文冲程体积。这张Schwachstellen您能jedoch anhand der CVSS-Bewertung beheben。

VPR-Skala

VPR-Bewertungen reichen·冯·0 1 bis 10 0, wobei hohere Werte毛皮一张hohere Wahrscheinlichkeit静脉Ausnutzung模特大赛。

• Kritisch: 9、0 bis 10 0
• 霍克:7 0 bis 8、9
• Mittel: 4 0 bis 6 9
• Niedrig: 0, 1双3、9

Berechnung冯VPR-Bewertungen

海尔einige wichtige Faktoren,死在死Berechnung冯VPR-Bewertungen einfließen:

• 改变der Schwachstelle:Anzahl der终点绒线Veroffentlichung der NVD Schwachstelle德
• CVSS-Auswirkungsbewertung:冯NVD bereitgestellte Auswirkungsbewertung (es要是keinen NVD-Score有,zeigt站得住脚的脆弱性管理(fruher Tenable.io)杯冯站得住脚的prognostizierten得分一个)
• Reifegrad des信息:相对Reifegrad进行potenziellen利用basierend der x接触,汪汪汪Ausgereiftheit和Verbreitung冯Exploit-Intelligence来自internen和externen Quellen
• Produktabdeckung:相对Anzahl der verschiedenen von der Schwachstelle betroffenen Einzelprodukte
• Bedrohungsquellen:阿莱Quellen, denen entsprechende Bedrohungsereignisse auftraten
• Intensitat der Bedrohung:相对Intensitat basierend der Anzahl汪汪汪和Haufigkeit kurzlich beobachteter Bedrohungsereignisse我这位Schwachstelle Zusammenhang麻省理工学院
• Aktualitat der Bedrohung:Anzahl der为主(730 0 bis) seit Eintritt进行Bedrohungsereignisses
• Beispiele毛皮Bedrohungsereignisse:
• Ausnutzung der Schwachstelle
• Veroffentlichung冯漏洞利用代码毛皮死在einem Schwachstelle offentlich zuganglichen库
• Diskussion der Schwachstelle Mainstream-Medien
• Sicherheitsforschung
• 在sozialen Diskussion der Schwachstelle Medien
• Web和im Untergrund Diskussion der Schwachstelle im黑暗
• Diskussion der Schwachstelle Hacker-Foren

VPR-Bewertungen erganzen das普通危险得分系统(CVSS), das贝herkommlichem Schwachstellen-Management eingesetzt将。GemaßCVSS-Bewertung了有Schwachstellen haufig als„霍克“奥得河„Kritisch”eingestuft, obwohl es在der实践雀鳝aktiven利用有。VPR-Bewertungen vermitteln您哒静脉besser Verstandnis des tatsachlichen Risikos。

这是CVSS-Bewertung(普通危险得分系统)?

Das普通危险得分系统(CVSS) bildet Das theoretische Risiko静脉Schwachstelle ab。

Genau是不是VPR-Bewertungen beginnen欧什CVSS-Bewertungen贝einem维尔特·冯·„0“毛皮死niedrigste Prioritat和reichen bis祖茂堂einem维尔特·冯·„10”- der kritischsten Einstufung。新一轮CVSS了jedoch大约60%通向Schwachstellen als„霍克“奥得河„Kritisch”eingestuft, selbst您要是皮草国际卫生条例Unternehmen moglicherweise kaum静脉Risiko darstellen。

韦德Das CVSS tragt民主党konkreten Risiko还有der Asset-Kritikalitat在我Umgebung帐单。这张entscheidenden Informationen,死在VPR-Bewertungen enthalten信德,benotigen您苏珥effektiven Priorisierung冯Behebungsmaßnahmen。

在einem Artikel在安全周将研究verwiesen的风景明信片,汪汪汪aufzeigt死去,dass Sicherheitsteams Schwachstellen欧什新一轮Zufallsprinzip beheben德国,您要是西奇贝der Schwachstellenbehebung ausschließlich auf一张hohe CVSS-Bewertung fokussieren。

在anderen Worten:一张CVSS-Bewertung有keinerlei Aufschluss daruber, ob一张Ausnutzung wahrscheinlich是奥得河ob死Bedrohung uberhaupt jemals aktiv军队杯Angreifer ausgenutzt,。

静脉资产临界评级(ACR)是什么?

达斯资产临界评级(ACR)有死Kritikalitat jed资产Ihrem Netzwerk。Es beruht auf mehreren wichtigen Metriken,她大约Geschaftszweck, Asset-Typ, Standort, Konnektivitat, Funktionen Drittdaten。

ACR-Bewertungen reichen·冯·0 bis 10:静脉资产麻省理工学院einem niedrigen ACR将永远als geschaftskritisch betrachtet。贝einem hohen ACR是死jedoch der下降。

ACR-Skala

• Kritisch: 9 bis 10
• 霍克:7 bis 8
• Mittel: 4双6
• Niedrig: 1双3

Tenable.iogibt einen ACR-Wert an, wenn Sie ein Asset in Ihrem Netzwerk erstmals scannen. Danach wird das ACR von Tenable automatisch generiert und täglich aktualisiert.

您可以在ACR-Werte entsprechend窝Anforderungen国际卫生条例Unternehmens anpassen。

Berechnung冯ACR-Bewertungen

海尔einige wichtige Faktoren,死在死Berechnung冯VPR-Bewertungen einfließen:

• Geratetyp
• 例如:静脉Hypervisor (das Gerat是静脉Hypervisor des摘要1,der一张virtuelle Maschine hostet)奥得河静脉德鲁克(das Gerat是静脉Netzwerkdrucker奥得河Printserver)
• Funktion des Gerats
• Der Geschaftszweck Gerats。例如:静脉Dateiserver奥得河嗯E-Mail-Server
• Internet-Exposition
• 在Ihrem Der Standort des Gerats Netzwerk和塞纳河Nahe zum互联网。例如:Es handelt西奇嗯静脉实习生在Ihrem Gerat lokalen Netzwerk (LAN),达斯西奇moglicherweise后陆静脉防火墙befindet,奥得河静脉走读生Gerat außerhalb国际卫生条例局域网,das西奇不后陆静脉防火墙befindet。

静脉资产敞口得分(AES)是什么?

Neben冲程体积-和ACR-Bewertungen stellt站得住脚的欧什杯资产风险评分(AES) zur Verfugung der古老而拟设毛皮risikobasiertes Schwachstellen-Management weitreichender unterstutzen萤石。

站得住脚的berechnet窝AES anhand der gegenwartig麻省理工学院einem资产verbundenen ACR -和VPR-Bewertungen。Im AES将死冯静脉Schwachstelle ausgehende Bedrohung毛皮jed资产和全世界Kritikalitat和Scan-Verhalten erfasst,嗯死Schwachstellenlandschaft祖茂堂quantifizieren des资产。

Der AES有死亡相对Gefahrdung jed资产auf静脉斯卡拉·冯·0 bis 1000一个。静脉hoherer AES怀斯特改一张hohere Gefahrdung欣。

静脉网络曝光得分是什么?

Der网络曝光得分(CES) kombiniert国际卫生条例冲程体积麻省理工学院Ihrem ACR和有das Cyberrisiko国际卫生条例Unternehmens。

Der CES reicht·冯·0(最小Risiko) bis 1.000 (hochstes Risiko)和stellt窝Durchschnitt通向AES-Bewertungen在Ihrem Unternehmen dar。

贝der Priorisierung冯Behebungsmaßnahmen unterstutzt您der CES的军队:

• Untersuchung der Asset-Kritikalitat
• 分析我Geschaftsziele
• 在我Prufung des Schweregrads jed potenziellen Bedrohung Angriffsoberflache
• Ermittlung der Wahrscheinlichkeit,麻省理工学院der Angreifer死在窝kommenden Bedrohung 28光明使者ausnutzen
• 在Bezug Verstandnis des Bedrohungskontexts darauf,多高das Risiko静脉Ausnutzung der实践坚持

Der CES hilft欧什dabei,古老而Erfolg im德国des risikobasierten Schwachstellen-Managements anhand冯基准实习生和麻省理工学院ahnlichen Unternehmen Der布兰切祖茂堂vergleichen。

站得住脚的errechnet古老CES als numerischen曾来0 1000,basierend天改AES-Werten通向90年窝vergangenen光明使者gescannten资产。我辞职信der CES, umso辞职信是das Risiko。

网络曝光分数信德verfugbar毛皮:

• 《国际卫生条例》对整个Unternehmen
• 资产einem bestimmten geschaftlichen Kontext

Abschnitt 5: Auswahl静脉Losung

---

Auswahl静脉Losung毛皮risikobasiertes Schwachstellen-Management

您要是政治interessiert信德,im车架国际卫生条例bestehenden Schwachstellen-Management-Programms杯risikobasierten拟设anzuwenden,奥得河要是您静脉新方针·冯·格伦德auf neu aufsetzen想,萤石一张Losung毛皮risikobasiertes Schwachstellen-Management您dabei helfen, Risiken祖identifizieren Behebungsmaßnahmen祖茂堂priorisieren祖planen您杯beispiellosen Einblick在死Cyberrisiken国际卫生条例Unternehmens bieten。

Mithilfe des richtigen工具毛皮risikobasiertes Schwachstellen-Management lasst西奇国际卫生条例Cybersecurity-Programm sogar auf geschaftliche Ziele和Vorgaben abstimmen,汽水您Cyberrisiken effektiver一个涉众和wichtige kommunizieren可以在您的团队。

海尔einige Empfehlungen,死您贝der Auswahl静脉passenden Losung毛皮risikobasiertes Schwachstellen-Management unterstutzen可以在:

Zunachst beachtet给弄了,dass错阿莱Losungen毛皮risikobasiertes Schwachstellen-Management gleich信德。您sollten静脉肠道Verstandnis davon抗议,welche Funktionen和Merkmale皮草国际卫生条例Unternehmen是wichtigsten信德和她在您这张einsetzen了,该死国际卫生条例Unternehmen stets geschutzt坚持。

Anschließend您能古老Prozess der Informationsgewinnung麻省民主党Prozess毛皮risikobasiertes Schwachstellen-Management在Einklang bringen,嗯nachzuvollziehen,是不是一张Losung窝jeweiligen Phasen funktioniert。

Erfassen

• 在我是不是identifiziert死Losung阿莱资产gesamten Angriffsoberflache吗?
• 是不是erfasst死Losung Schwachstellen、Schwachen Fehlkonfigurationen制裁Sicherheitsprobleme在Ihrem Unternehmen吗?
• Welche策略、welchen拟设verfolgt死Losung贝der Erfassung冯Schwachstellen和资产?
• 是这位Losung gelingt im Hinblick auf死Erfassung冯资产和Schwachstellen肠道和我们greift祖茂堂kurz吗?
• Unterstutzt死Losung regelmaßige和haufige扫描我Angriffsoberflache吗?是的,要是这位Prozess funktioniert ?
• 萤石死Losung samtliche Asset-Typen(不努尔herkommliche it资产)identifizieren和zuordnen,是不是那些OT,物联网和IIoT-Gerate,云,和Serverless-Assets Mobilgerate和集装箱吗?
• 萤石死Losung neue资产sofort erfassen, sobald您西奇麻省理工学院Ihrem Netzwerk verbinden吗?

Bewerten

• 在我是不是bewertet死Losung阿莱资产gesamten Angriffsoberflache吗?
• 是不是bewertet死Losung Schwachstellen、Schwachpunkte Fehlkonfigurationen制裁Sicherheitsprobleme在Ihrem Unternehmen吗?
• Welche策略、welchen拟设verfolgt死Losung贝der Bewertung冯Schwachstellen和资产?
• Unterstutzt死Losung sofortige和kontinuierliche Bewertungen吗?是的,要是这位Prozess funktioniert ?
• 萤石死Losung Schwachstellendaten麻省理工学院anderen Kontextelementen korrelieren和analysieren,以色列立大约der Asset-Kritikalitat der Bewertung冯aktuellen potenziellen Aktivitaten冯Angreifern吗?
• 将死Losung军队kontinuierliche和fundierte Untersuchungen进行spezialisierten团队毛皮Schwachstellenforschung unterstutzt吗?
• 萤石死Losung detaillierte Erkenntnisse祖茂堂jed Schwachstelle liefern,死在Ihrem erweiterten Netzwerk erfasst将?

Priorisieren

• Bietet死苏珥Priorisierung冯Schwachstellen Losung工具?
• 是的,要是你叫priorisiert死Losung Schwachstellen在我Angriffsoberflache吗?
• Welche策略、welchen拟设verfolgt死Losung贝der Priorisierung冯Schwachstellen吗?
• 是der拟设der Losung苏珥Priorisierung冯Schwachstellen proaktiv奥得河reaktiv吗?
• Aktualisiert死Losung Prioritatsbewertungen毛皮jede Schwachstelle kontinuierlich -基·冯·Veranderungen汪汪汪der aktuellen Bedrohungslandschaft吗?
• Verwendet死Losung maschinelles Lernen,嗯pb Daten祖茂堂analysieren和binnen Sekunden一张Prioritatsbewertung zuzuweisen吗?
• 萤石死Losung neben民主党Schweregrad静脉Schwachstelle欧什死Aktivitaten冯Bedrohungsakteuren和死Asset-Kritikalitat ermitteln,嗯das tatsachliche Risiko exakt祖茂堂quantifizieren吗?
• Nutzt Losung静脉Data-Science-Modell死去,恩祖prognostizieren贝welchen Schwachstellen一张Ausnutzung在不Zukunft是wahrscheinlichsten是吗?

Beheben

• Verfugt死Losung超级工具,死您贝der Behebung冯Schwachstellen unterstutzen吗?是的,要是welche吗?瀑布es keine工具有了您wahrscheinlich auf manuelle Behebungsprozesse angewiesen盛。
• 萤石在安德利果汁死Losung Sicherheitslosungen eingebunden了,那些在国际卫生条例SIEM,国际卫生条例票务系统工具的奥得河毛皮das补丁管理?
• Unterstutzt Losung一张Reihe冯Behebungsmaßnahmen死去,是不是大约„Beheben”,„Mindern“奥得河„Akzeptieren”?
• Andert死Losung Risikobewertungen auf基础冯Faktoren是不是kompensierenden Kontrollen automatisch奥得河ermoglicht您一张entsprechende manuelle Anderung吗?

Messen

• 是不是欢迎死Losung死Effektivitat国际卫生条例risikobasierten Schwachstellen-Management-Programms吗?
• 萤石死Losung wichtige Sicherheits——和Reifegrad-Metriken苏珥Risikominderung berechnen吗?
• Kommuniziert死Losung死Wirksamkeit国际卫生条例Sicherheitsteams auf effektive怀斯(sowohl innerhalb冯团队als欧什daruber hinaus,那些较为Fuhrungskraften和anderen wichtigen Entscheidungstragern) ?

基准测试

• Verfugt死Losung超级工具,麻省理工学院deren帮助您死Leistung国际卫生条例式anhand冯基准实习生和麻省理工学院ahnlichen Unternehmen der布兰切vergleichen能帮吗?
• 是的,要是这位Prozess lauft ab ?
• Welche Stichprobengroße erfordert死Losung毛皮das基准?
• Benchmarken您国际卫生条例方针bereits吗?是的,要是萤石死Losung ahnliche奥得河bessere Metriken bieten,嗯das基准祖茂堂verbessern ?

大幅减退

• 负责das团队des Anbieters kontinuierliche大幅减退,嗯死Losung祖茂堂unterstutzen祖verbessern吗?
• 是不是groß】Forschungsteam des Anbieters吗?
• 是das Forschungsteam毛皮schnelle Reaktionsmaßnahmen贝signifikanten Problemen bekannt吗?
• 死是什么mittlere Reaktionszeit des Forschungsteams吗?
• 是不是有插件entwickelt das Forschungsteam im Durchschnitt pro Jahr吗?
• 是不是有Schwachstellen entdeckt和veroffentlicht das Forschungsteam im Durchschnitt pro Jahr吗?

专业服务

• 是不是有Mitarbeiter zahlt das专业服务团队des Anbieters ?
• Welche Arten冯专业服务zahlen zum Angebot des Anbieters吗?
• Bietet der Anbieter Schulungen毛皮neue Benutzer一个吗?是的,要是你叫laufen Schulungen ab ?
• Verfugt der Anbieter超级杯rund嗯死表erreichbaren Kundensupport吗?是的,要是你叫lauft der支持ab ?
• Verfugt der Anbieter乳房静脉spezielles团队奥得河entsprechende严责,嗯您im Problemfall祖茂堂unterstutzen吗?