弱點管理建議著重於解決持續取得、評估及處理新資訊相關問題,以識別和補救弱點,以及將攻擊者的機會範圍降到最低。
5.1:執行自動化弱點掃描工具
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 5.1 | 3.1, 3.2, 3.3 | 客戶 |
請遵循 Azure 資訊安全中心的建議,以在 Azure 虛擬機、容器映像和 SQL Server 上執行弱點評估。
使用第三方解決方案,在網路裝置和 Web 應用程式上執行弱點評估。 執行遠端掃描時,請勿使用單一、永久的系統管理帳戶。 請考慮為掃描帳戶實作 JIT 布建方法。 掃描帳戶的認證應受到保護、監視,並僅用於弱點掃描。
5.2:部署自動化作業系統修補管理解決方案
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 5.2 | 3.4 | 客戶 |
使用 Azure「更新管理」,以確保 Windows 和 Linux VM 上已安裝最新的安全性更新。 針對 Windows VM,請確定 Windows Update 已啟用並設定為自動更新。
5.3:針對第三方軟體標題部署自動化修補程式管理解決方案
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 5.3 | 3.5 | 客戶 |
使用第三方修補程式管理解決方案。 已經在其環境中利用 System Center Configuration Manager 的客戶可能會利用 System Center Updates Publisher,讓他們將自定義更新發佈至 Windows Server Update Service。 這可讓 Update Manager 修補使用 System Center Configuration Manager 作為其第三方軟體更新存放庫的機器。
5.4:比較背對背弱點掃描
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 5.4 | 3.6 | 客戶 |
以一致的間隔匯出掃描結果,並比較結果以確認已補救弱點。 使用 Azure 資訊安全中心建議的弱點管理建議時,您可以切換至所選解決方案的入口網站,以檢視歷史掃描資料。
5.5:使用風險評等流程來設定所探索到弱點的補救優先順序
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 5.5 | 3.7 | 客戶 |
使用常見的風險評分計劃(例如常見弱點評分系統)或第三方掃描工具所提供的預設風險分級。
後續步驟
- 請參閱下一個安全性控制: 清查和資產管理