- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
300 Управление уязвимостями |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
значить ответственными за системы,которые они никогда ранее не использо- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
вали. Наконец, документация помогает при чрезвычайных ситуациях, чтобы избежать пропуска каких-либо шагов или не наделать ошибок.
Реализация управления уязвимостями
Реализация управления уязвимостями следует установленной стратегии. Она начинается с создания инвентаризации ресурсов. Это служит регистром всех хостов в сети, а также содержащегося в них программного обеспечения. На этом этапе организация должна дать определенному сотруднику IT-команды задачу по обновлению данного инвентаря. Инвентаризация ресурсов, как ми- нимум,должна показыватьаппаратные и программные ресурсы,принадлежа- щие организации, и соответствующие лицензии. В качестве необязательного дополнения инвентаризация также должна выявлять уязвимости,присутству- ющие в любом из этих ресурсов. Обновленный регистр пригодится, когда ор- ганизации придется реагировать на уязвимости, исправляя все свои ресурсы. Вышеупомянутые инструменты могут должным образом справляться с зада- чами, которые должны быть выполнены на этом этапе.
После реализации инвентаризации ресурсов организация должна обратить внимание на управление информацией. Целью должно стать создание эффек- тивного способа передачи информации об уязвимостях и инцидентах в обла- сти кибербезопасности соответствующим лицам в кратчайшие сроки. Подхо- дящими лицами, которым можно отправить информацию об инцидентах из первых рук, являются группы реагирования на инциденты в области компью- терной безопасности.Инструменты,которые были описаны как средства,спо- собные облегчить этот этап,требуют создания списков рассылки. Члены груп- пыреагирования наинцидентыдолжны бытьвэтом списке,которыйполучает оповещения от инструментов мониторинга безопасности организации.
Нужно создавать отдельные списки рассылки,чтобы другие заинтересован- ные стороны в организации могли получить доступ к этой информации пос ле того, как она будет подтверждена. О соответствующих действиях, которые должны предпринять другие заинтересованные стороны, также следует сооб- щать через списки рассылки.
Наиболеерекомендуемыйинструментвэтомслучае–Symantec–предостав- ляетпериодическиепубликациипользователямворганизации,чтобыдержать их в курсе глобальных инцидентов в области кибербезопасности. В общем, в конце этого этападолжен бытьналажен сложный канал связи с реагирующи- ми на инциденты лицами и другими пользователями,когда происходит взлом системы.
После реализации списков рассылки для управления информацией должна бытьпроведенаоценкарисков.Онадолжнаосуществлятьсяспособом,описан- ным в стратегии управления уязвимостями. Начинать следует с определения области действия. За этим должен последовать сбор данных о существующих
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Реализация управления уязвимостями 301to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
политиках и процедурах, которые использует организация. Данные относи- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
тельно их соответствиятакжедолжны быть собраны.После этогодолжны быть проанализированы существующие политики и процедуры, чтобы определить, были ли они адекватными при обеспечении безопасности организации.Затем следует провести анализ уязвимостей и угроз.Угрозы и уязвимости,с которы- ми сталкивается организация, следует классифицировать в соответствии с их серьезностью. Наконец, организация должна определить приемлемые риски,
скоторыми она может столкнуться, не испытывая глубоких последствий. Оценка рисков должна сопровождаться оценкой уязвимостей. Этап оцен-
ки уязвимостей, который не следует путать с анализом уязвимости на этапе управления рисками, направлен на выявление уязвимых ресурсов. Поэтому все хосты в сети должны быть проверены с помощью согласованного взлома или протестированы на предмет проникновения,чтобы определить,являются ли они уязвимыми. Этот процесс должен быть тщательным и точным. Любые уязвимыересурсы,неопределенныенаэтомэтапе,могутбытьслабымзвеном, которое хакеры будут использовать. Таким образом, инструменты, которые предполагаемые хакеры будутприменятьдля совершения атаки,должны быть использованы в полной мере своих возможностей.
За этапом оценки уязвимости должно следовать создание отчетов и отсле- живание исправлений. Необходимо сообщать заинтересованным сторонам организации о всех выявленных рисках и уязвимостях. Отчеты должны быть всеобъемлющими и касающимися всех аппаратных и программных ресурсов, принадлежащих организации. Также они должны быть доработаны, чтобы удовлетворитьпотребности различных групплиц.Естьлица,которые могутне разбираться в технической стороне уязвимостей, поэтому будет справедливо предоставить им упрощенную версию отчетов.После отчетов должно идти от- слеживание исправлений.После выявления рисков и уязвимостей,с которыми сталкиваетсяорганизация,следуетуказатьподходящихлиц,которыезаймутся их устранением. На них должна быть возложена ответственность за обеспече- ниеполногоустранениявсехрисковиуязвимостей.Долженсуществоватьпро- думанный способ отслеживания прогресса в устранении выявленных угроз. Инструменты, которые мы рассмотрели ранее, обладают этими функциями и могут гарантировать успешную реализацию данного шага.
Окончательной реализацией должно быть планирование реагирования. Именно здесь организация описывает действия по устранению уязвимостей и приступает к их принятию. Этот шаг подтвердит правильность предыдущих пяти шагов. При планировании реагирования организация должна предло- житьсредстваисправленияилиобновлениясистем,которыебылиопределены как имеющие определенные риски или уязвимости. Следует придерживаться иерархии серьезности угроз,определенной на этапах оценки риска и уязвимо- сти. Этот шаг должен быть реализован с помощью инвентаризации ресурсов, чтобы организация могла подтвердить, что были задействованы все ее ресур- сы,какаппаратные,такипрограммные.Данныйшагнедолжензаниматьмно-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
302 Управление уязвимостями |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
го времени, поскольку хакеры могут перейти к нападению, используя только |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
чтообнаруженныеуязвимости.Этаппланированияреагированиядолженбыть завершен с учетом того, когда системы мониторинга отправляют оповещения тем, кто реагирует на инциденты.
Передовые методы управления уязвимостями
Даже при наличии лучших инструментов выполнение – это все, что имеет значение в управлении уязвимостями. Поэтому все действия, которые были определены в разделе реализации, должны выполняться без нареканий. Для каждого шага реализации стратегии управления уязвимостями существует ряд рекомендаций. Начиная с инвентаризации ресурсов, организация должна установить единую точку власти. Должно быть одно лицо, которое может нес ти ответственность, если не были выполнены обновления или имеются несо- ответствия. Еще один метод заключается в поощрении использования одних и тех же сокращений при вводе данных. Если сокращения будут изменяться, это может сбить с толку другого человека, пытающегося пройти инвентари- зацию. Инвентаризация также должна проверяться не реже одного раза в год. Наконец, рекомендуется относиться к изменениям систем управления инвен- таризацией с той же степенью осторожности, что и к любым другим измене- ниям в процессе управления.
На этапе управления информацией самым большим достижением, которое может получить организация,является быстрое и эффективное распростране- ние информации среди соответствующей аудитории. Один из лучших спосо- бов сделать это – позволить сотрудникам сознательно подписаться на списки рассылки. Еще один способ – позволить группе реагирования на инциденты публиковать свои собственные отчеты, статистику и рекомендации для поль- зователей организации на сайте. Организация также должна периодически проводить конференции для обсуждения новых уязвимостей, вирусов, вредо- носных действий и методов социальной инженерии с пользователями. Лучше всего,если все пользователи будутпроинформированы об угрозах,с которыми они могут столкнуться, и о том, как эффективно с ними бороться. Это оказы- вает бóльшее влияние, нежели списки рассылки, которые говорят им делать вещи технического характера, о смысле которых они и представления не име- ют. Наконец, организация должна придумать стандартизированный шаблон того, как будут выглядеть все относящиеся к безопасности электронные пись- ма.Уних должно быть четко определенное оформление,отличное от обычной электронной почты, к которой привыкли пользователи.
Этап оценки рисков является одним из самых сложных этапов жизненного цикла управления уязвимостями, потому что здесь не так много коммерче- ских инструментов, которые можно использовать. Одним из передовых мето- дов является документирование способов проверки новых уязвимостей сра- зу после их появления. Это сэкономит много времени, когда дело доходит до нейтрализации, поскольку соответствующие контрмеры уже будут известны.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Передовые методы управления уязвимостями 303to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
Еще один метод – публикация рейтингов рисков для общественности или, по |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
крайней мере, для пользователей организации. Эта информация может рас- пространяться и в конечном итогедойтидотого,кто сочтетее более полезной. На этом этапе также рекомендуется убедиться, что инвентаризации ресурсов доступны и обновляются, чтобы можно было пройти все хосты в сети во вре- мя анализа рисков. Группа реагирования на инциденты в любой организации должна также опубликовать матрицу для каждого инструмента, развернутого
ворганизации,чтобы обезопаситьсебя.Наконец,организациядолжна обеспе- чить строгий процесс управления изменениями, обеспечивающий информи- рование входящих сотрудников о состоянии безопасности организации и ме- ханизмах ее защиты.
Этап оценки уязвимости не очень сильно отличается от этапа оценки рис ков,поэтому они могутзаимствоватькакие-то методыдругудруга (те, что мы обсуждали ранее). В дополнение к тому, что обсуждалось при оценке рисков, полезно получить разрешение, прежде чем тщательно тестировать сеть, по- тому что мы уже видели,что этотшагможетпривести к серьезным сбоям в ра- боте организации и нанести реальный ущерб хостам.Поэтому все необходимо заранее спланировать.Еще один передовой метод заключается в создании на- страиваемых политик для конкретных сред – это разные операционные си- стемы хостов организации.Наконец,организация должна определить инстру- менты сканирования,которые лучше всего подходятдля ее хостов.Некоторые методымогутбытьизлишними,еслионислишкоммногоиглубокосканируют. Другие инструменты слишком поверхностные и не обнаруживают уязвимости
всети.
Есть несколько советов, которые можно использовать на этапе составления отчетов и отслеживания исправлений.Одним из них является обеспечение на- дежного инструмента для отправки владельцам ресурсов отчетов об уязвимо- стях, которые были у них, и о том, были ли они полностью исправлены. Это уменьшает количество ненужных электронных писем, полученных от пользо- вателей,на компьютерах которых обнаружены уязвимости.IT-персонал также должен встретиться с руководством и другими заинтересованными сторона- ми, чтобы узнать, какие отчеты они хотят увидеть. Уровень техничности дол- жен быть согласован. Группа реагирования на инциденты должна согласовать с руководством сроки восстановления и требуемые ресурсы,а также сообщить о последствиях отсутствия восстановления. Наконец, исправление должно быть выполнено в соответствии с иерархией строгости угроз. Поэтому уязви- мости, которые представляют наибольшую опасность, должны быть отсорти- рованы в первую очередь.
Этап планирования реагирования завершает процесс управления уязви- мостями. Именно здесь реализуются ответы на различные уязвимости. На этом этапе можно использовать ряд передовых методов. Одним из них явля- ется обеспечение того, чтобы планы реагирования были задокументированы и хорошо известны группе реагирования на инциденты и обычным пользо- вателям. Также должен существовать быстрый и точный поток информации