网络安全知识漏洞管理组织必须承担不更新的风险

有时可能有正当理由不续订。 不这样做的决定是一个高层次的风险决定，应该在组织的风险管理政策和实践的更广泛背景下加以考虑。

您可能会发现比可用于解决这些问题的资源更多的问题。 从根本上说，不解决问题的决定是一个高级业务风险决策，而不是 IT 问题，每个组织都有自己的风险偏好。 这里需要考虑许多合理的因素，包括成本、资源、复杂性和其他运营风险。 目标仍应是默认更新，并尽量减少根据具体情况做出决定的需要。 组织的风险管理结构和员工需要了解组织当前选择容忍的风险。

基于风险的优先级取决于组织的风险评估以及对 CISA 已知利用漏洞目录或威胁情报源的引用。 不应仅根据单个严重性评分（例如 CVSS）做出决定。 对系统或服务的潜在影响 — 例如，您是否拥有有效的备份以及足够的系统知识来恢复它？ 系统、服务或组织的声誉可能会受到损害。 直接成本，例如更换过时的系统。 短期修复的可用性和成本。 开展工作所需的熟练资源的可用性和成本。 事件响应和恢复的成本，包括在最坏情况下施加的任何处罚。 做出决定后，记录其背后的原因，并确保考虑组织整体风险管理框架中的任何剩余风险。 这可能是一个风险寄存器，您可以在其中对所有相同的风险进行分组，例如“高：未修补的外部暴露漏洞允许初始入侵”。 重要的是，风险由业务部门承担，而不是由安全团队承担，并且对高级领导层是可见的。