網路安全知識漏洞管理組織必須承擔不更新的風險

有時可能有正當理由不續訂。 不這樣做的決定是乙個高層次的風險決定，應該在組織的風險管理政策和實踐的更廣泛背景下加以考慮。

您可能會發現比可用於解決這些問題的資源更多的問題。 從根本上說，不解決問題的決定是乙個高階業務風險決策，而不是 IT 問題，每個組織都有自己的風險偏好。 這裡需要考慮許多合理的因素，包括成本、資源、複雜性和其他運營風險。 目標仍應是預設更新，並儘量減少根據具體情況做出決定的需要。 組織的風險管理結構和員工需要了解組織當前選擇容忍的風險。

基於風險的優先順序取決於組織的風險評估以及對 CISA 已知利用漏洞目錄或威脅情報源的引用。 不應僅根據單個嚴重性評分（例如 CVSS）做出決定。 對系統或服務的潛在影響 — 例如，您是否擁有有效的備份以及足夠的系統知識來恢復它？ 系統、服務或組織的聲譽可能會受到損害。 直接成本，例如更換過時的系統。 短期修復的可用性和成本。 開展工作所需的熟練資源的可用性和成本。 事件響應和恢復的成本，包括在最壞情況下施加的任何處罰。 做出決定後，記錄其背後的原因，並確保考慮組織整體風險管理框架中的任何剩餘風險。 這可能是乙個風險暫存器，您可以在其中對所有相同的風險進行分組，例如“高：未修補的外部暴露漏洞允許初始入侵”。 重要的是，風險由業務部門承擔，而不是由安全團隊承擔，並且對高階領導層是可見的。