Je hebt een klacht over de onderstaande posting:
Dag allemaal, Er is wat discussie bij mijn huidige werkgever over de definitie van 'tijdig' patchen van security vulnerabilities. Op het internet kom je verschillende richtlijnen tegen zoals: - Criticals (CVSS 9+) binnen 15 dagen patchen na publicatie CVE - High (CVSS 8-8.9) binnen 30 dagen patchen na publicatie CVE Deze zijn dan weer gebaseerd op bijvoorbeeld de average time-to-exploit. In mijn ogen zijn er een hoop randzaken die relevant zijn om in te schatten wat een maximale doorlooptijd mag zijn voor het patchen. Voorbeelden: - is een asset direct verbonden met het internet? - wat voor CIA classificatie heeft een asset? - hoe bedrijfskritisch is een asset? - zijn er publieke exploits beschikbaar? - zie je aanvalspogingen die aansluiten op de aangetroffen kwetsbaarheden in het netwerk - zit je in een sector waarbij actief wordt aangevallen met behulp van specifieke kwetsbaarheden Idealiter zou je een framework/standaard willen aanhouden waarbij verschillende metrics, zoals de voorbeelden hierboven, ...
Beschrijf je klacht (Optioneel):