پس از تعیین نقشها و مسئولیتها در گام اول مدیریت آسیبپذیری نوبت به تهیه فهرست داراییها (asset) میرسه
در این گام شما مشخص میکنید که چه دارید و از همه مهمتر مشخص میکنید که چه باید امن شود و سپس به نحوهی چگونگی امن کردن آن میپردازید. شاید در وحلهی اول آن را فعالیتی ساده تلقی کنید اما برعکس میتواند عملی عظیم برای بسیاری از سازمانها باشد[۱]. معمولا دادههای مهم در مکانهای پراکندهای از شبکهی سازمان قرار دارند و شبکه به صورت نامناسب و مستند نشده رشد میکند که میتواند به این سختی بیافزارد.
در مبحث آسیبپذیری، دانستن تنوع سکوها و بسترها و نرمافزارهای نصب شده در سازمان از اهمیت خاصی برخوردار است. این روش تنها راهی است که در صورت کشف آسیبپذیری جدید، میتوانید تعیین کنید که شامل شبکه و داراییهای شما میشود یا خیر.
یک فهرست و مستند کامل شامل تمامی سیستمهای عامل، برنامههای کاربردی، سختافزارها، میانافزارهای[۲] شبکه میشود. این اطلاعات باید حاوی نسخه، وصلهها یا بروزرسانیهای اعمال شده باشد. برای مثال اگر زمانی آسیبپذیری برای آپاچی وبسرور ۱٫۳ کشف شود اولا شما میدانید که چه نسخهای از ان را روی شبکه خود دارید و ثانیا آیا لازم هست که اقدامی صورت پذیرد یا خیر. در زیر گامهای لازم برای مدیریت داراییها بیان شده است:
- شناسایی تمامی داراییها، پیکربندیها، نسخهها، نرمافزارها و وصلهها
- بروزرسانی این اطلاعات در طول چرخهی حیات هر دارایی از زمان خرید تا زمان خروج از چرخه
- شناسایی و تعیین فردی مشخص به عنوان مسئول مدیریت دارایی
[۱] باید مستندی در این رابطه جهت تعیین حجم و نحوه ارزیابی این فعالیت تهیه شود
[۲] Firmware
دیدگاه ها