Управление уязвимостями — это «циклическая практика выявления, классификации, определения приоритетов, устранения и смягчения» уязвимостей программного обеспечения . [1] Управление уязвимостями является неотъемлемой частью компьютерной и сетевой безопасности , и его не следует путать с оценкой уязвимостей . [2]
Уязвимости можно обнаружить с помощью сканера уязвимостей , который анализирует компьютерную систему в поисках известных уязвимостей, [3] таких как открытые порты , небезопасные конфигурации программного обеспечения и восприимчивость к заражению вредоносным ПО . Их также можно выявить, обратившись к общедоступным источникам, таким как NVD, обновлениям безопасности конкретных поставщиков или подписавшись на коммерческую службу оповещения об уязвимостях. Неизвестные уязвимости, такие как нулевой день [3] , могут быть обнаружены с помощью фазз-тестирования . Нечеткое тестирование может выявить определенные виды уязвимостей, например переполнение буфера с помощью соответствующих тестовых примеров . Такой анализ может быть облегчен за счет автоматизации тестирования . Кроме того, антивирусное программное обеспечение, способное проводить эвристический анализ, может обнаружить недокументированное вредоносное ПО, если обнаружит, что ПО ведет себя подозрительно (например, пытается перезаписать системный файл ).
Исправление уязвимостей может включать в себя установку исправления , изменение политики сетевой безопасности, реконфигурацию программного обеспечения или обучение пользователей методам социальной инженерии .
Уязвимость проекта – это подверженность проекта негативным событиям, анализ их воздействия и способность проекта справляться с негативными событиями. [4] Основываясь на системном мышлении, управление системными уязвимостями проекта предполагает целостное видение и предлагает следующий процесс:
В этой модели преодоление негативных событий осуществляется посредством:
Избыточность — это особый метод повышения устойчивости и устойчивости при управлении уязвимостями.[5]
Антихрупкость — это концепция, введеннаяНассимом Николасом Талебомдля описания способности систем не только сопротивляться неблагоприятным событиям или восстанавливаться после них, но и совершенствоваться благодаря им. Антихрупкость аналогична концепцииположительной сложности,предложенной Стефаном Морковым.