Zarządzanie aktywami Aktywa IoT konsumenta Aktywa programistyczne Zarządzanie aktywami w chmurze Środowiska wielochmurowe Hybrydowe środowiska chmury Oprogramowanie innych firm oraz oprogramowanie open source (OSS) Oprogramowanie innych firm (i związane z nim ryzyko) Uwzględnianie oprogramowania open source Inwentaryzacja aktywów lokalnych i w chmurze Lokalne centra danych Oprzyrządowanie Narzędzia do zarządzania aktywami sprawdzania podatności Narzędzia do zarządzania inwentarzem w chmurze Aktywa efemeryczne Ryzyko zarządzania aktywami Log4j Brakujące i nieuwzględnione aktywa Zarządzanie łataniem Zalecenia dotyczące zarządzania aktywami Odpowiedzialność przy zarządzaniu aktywami Wykrywanie aktywów Uzyskanie odpowiedniego oprzyrządowania Transformacja cyfrowa Standardowe procedury działania przy wprowadzaniu i wycofywaniu Efektywne zarządzanie podatnościami na zagrożenia Zarządzanie łataniem Ręczne zarządzanie łataniem Ryzyko ręcznego łatania Oprzyrządowanie do ręcznego łatania Zarządzanie automatycznym łataniem Zalety łatania automatycznego w porównaniu z ręcznym Kombinacja łatania automatycznego i ręcznego Ryzyko przy automatycznym łataniu Zarządzanie łataniem w środowiskach deweloperskich Łatanie oprogramowania open source Niecałe oprogramowanie jest sobie równe Wewnętrzne zarządzanie łataniem Odpowiedzialność zespołów ds. infrastruktury i zespołów operacyjnych Kto jest właścicielem zarządzania łataniem? Podział obowiązków Narzędzia i raportowanie Łatanie przestarzałych systemów Przestarzałe oprogramowanie Niezałatane oprogramowanie open source Ryzyko szczątkowe Powszechne ataki na niezałatane systemy Ustalanie priorytetów działań związanych z łataniem Zarządzanie ryzykiem i łatanie Tworzenie programu zarządzania łataniem Ludzie Proces Technologia Bezpieczna konfiguracja Regulacje, ramy i prawa Pierwsza dziesiątka wadliwych konfiguracji według NSA i CISA Domyślna konfiguracja oprogramowania i aplikacji Niewłaściwa separacja uprawnień użytkownika i administratora Niedostateczny monitoring sieci wewnętrznej Brak segmentacji sieci Słabe zarządzanie łataniem Omijanie systemu kontroli dostępu Słabe lub źle skonfigurowane wieloskładnikowe metody uwierzytelniania Brak MFA odpornych na phishing Niewystarczające listy kontrolne do udziałów i usług sieciowych Słaba higiena poświadczeń Nieograniczone wykonywanie kodu Ograniczanie zagrożeń Wzorce CIS (CIS Benchmark) Techniczne wytyczne implementacji zabezpieczeń DISA Ciągłe zarządzanie podatnościami Kontrola CIS 7 — ciągłe zarządzanie podatnościami Ustanowienie i utrzymanie procesu zarządzania podatnościami Ustanowienie i obsługa procesu naprawczego Zautomatyzowane zarządzanie poprawkami systemu operacyjnego Zautomatyzowane zarządzanie łataniem aplikacji Zautomatyzowane skanowanie wewnętrznych aktywów przedsiębiorstwa pod kątem podatności na zagrożenia Zautomatyzowane skanowanie podatności na zagrożenia zewnętrznych aktywów przedsiębiorstwa Eliminowanie wykrytych podatności Praktyki ciągłego monitorowania Ocena podatności i identyfikacja oprogramowania Powszechny system oceny podatności CVSS 4.0 w skrócie Miary bazowe Miary możliwości wykorzystania Miary zagrożenia Miary środowiskowe Miary dodatkowe Jakościowa skala oceny wagi Łańcuch wektorowy System oceny przewidywania exploitów EPSS 3.0 — ustalanie priorytetów poprzez przewidywanie