Gartner：2018年10大安全项目详解

【项目目标客户】基于CARTA方法论，该项目能够很好地处理漏洞管理问题，并有助于显著降低潜在风险。在补丁管理流程中断，以及IT运维的速度赶不上漏洞增长的速度时，可以考虑该项目。你无法打上每个补丁，但你可以通过风险优先级管理显著降低风险。

【项目建议】要求你的虚拟助手/虚拟机供应商提供该能力(如果客户已经上云/虚拟化的话)，并考虑使用风险缓解措施，譬如上防火墙、IPS、WAF等等。

注意，弱点管理不是弱点评估。弱点评估对应我们熟知的弱点扫描工具，包括系统漏扫、web漏扫、配置核查、代码扫描等。而弱点管理是在弱点评估工具之上，收集这些工具所产生的各类弱点数据，进行集中整理分析，并辅以情境数据(譬如资产、威胁、情报等)，进行风险评估，并帮助安全管理人员进行弱点全生命周期管理的平台。记住，弱点管理是平台，而弱点扫描是工具。

另外，Vulnerability Management我一直称作“弱点管理”，而不是“漏洞管理”，是因为弱点包括漏洞，还包括弱配置!如果你认为Vulnerability应该叫做漏洞，那也没关系，但不要把弱配置落掉。

那么，什么叫做基于CARTA的弱点管理呢?熟悉CARTA就能明白，本质上CARTA就是以风险为核心一套安全方法论。因此，基于CARTA的弱点管理等价于基于风险的弱点管理。基于风险的管理是一个不断迭代提升的过程，包括弱点发现、弱点优先级排序、弱点补偿控制三个阶段，如下图所示：

作为排名第二位的项目，Gartner建议尽快启动，尽早降低组织面临的风险。

Gartner对基于CARTA方法论的VM的衡量指标包括：

• 是否有情境信息，谁收到攻击?不仅是IP，而是他的情境信息都需要，以便全面评估;
• 能否算出资产的业务价值?
• 能否绘制网络拓扑，给出缓解措施?
• 把VA(漏洞评估)和漏洞管理一并考虑，譬如集成VA工具

目前在国内一般有两类弱点管理产品，一类是单一的弱点管理产品，属于轻量级的弱点管理平台，更多具有工具的使用特点，管理类功能相对较为简单。还有一类是作为SOC/安管平台的一个组成部分，具有较为完备的平台功能，并具备风险计算功能，把漏洞管理的流程和其它SOC运维流程整合到一起。

3.  积极的反钓鱼项目

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!