区分风险和问题

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了区分风险和问题相关的知识,希望对你有一定的参考价值。

参考技术A

在PMP考试中,关于某个事件是风险还是问题(该事件是应该存在于风险登记册还是问题日志),经常容易让人产生搞不清楚。

接下来,我将我对这两个的理解和认知和大家分享一下(才疏,欢迎大家批评指正)。

关键字 “有可能发生”,目前尚未发生,有一定的发生概率。

风险管理的一个重要可交付成果,就落实在风险登记册中的内容。

典型的风险登记册往往包含以下元素: 风险名称、风险类别、当前风险状态、一项或多项原因、一项或多项对目标的影响、风险触发条件(显示风险即将发生的事件或条件)、受影响的 WBS组件,以及时间信息(风险何时识别、可能何时发生、何时可能不再相关,以及采取行动的最后期限)

风险识别越早越好,并且在项目开展过程中持续进行。

比较有效的是,在每一次周例会或者单独的每周风险审查会上做好以下工作:

风险登记册里的内容越多越好,内容越多,证明你对未来可能发生的情况识别越全面,如果加以有效预防和管理,则可以消除或者降低不利影响,扩大有利局面。

关键字 “一定或者已经发生”,发生的概率为100%。

问题被记录在问题日志中, 问题日志是一种记录和跟进所有问题的项目文件,作为“指导与管理项目工作”过程组的输出,首次被创建。在整个项目期间需要不断地更新问题日志。

问题日志所记录和跟进的内容可能包括:

问题类型

问题提出者和提出时间

问题描述

问题优先级

由谁负责解决问题

目标解决日期

问题状态

最终解决情况。

问题日志里的内容越少越好,救火的事情越少,放在有效工作上的精力才会越多

部分已经识别到的风险发生了,或者未识别到的事件发生了,表示风险已经转化为问题。比如供应商的延期交货果然发生了,会影响到项目的进展,这时候已经是一个需要解决的问题。面对问题的解决,往往与风险不一样。

风险重在提前预防,降低发生的概率和影响(积极的风险主要是提高概率和影响),往往是事前行为;而问题往往是事后行为,做的是亡羊补牢,将影响或者损失降低到最小。

风险和问题是可以互相转化的。风险是会对项目产生影响的不确定事件,所以要识别风险,是要在项目前期做出大量的假设的,当假设不成立时,假设就会转化为风险,那么当一个确定的风险已经发生,那么就会成为问题。这就是风险和问题之间的关系。

应该记录在风险登记册中,风险登记册随风险的识别、分析、解决而更新,风险登记册是风险知识领域中规划过程组过程的输出;

应该记录在问题日志中,问题日志也是随问题的发生、处理、解决、升级而进行更新,问题日志是指导与管理项目工作过程的输出。

1、项目接近完工,团队成员向项目经理报告一个会影响到重要期限的问题(Issue)。每周状态报告将在第二天发送至主要干系人。项目经理下一步该怎么做?

A. 更新问题日志,通知发起人并使用问题升级流程,向干系人报告进度可能延期

B. 在一次状态周报告中通知干系人,与他们讨论可能的解决方案,并请求预算和进度延期

C. 核实这个问题是否包含在风险计划中,如不在,则应将其包含入内,并编制风险减轻计划

D. 更新问题日志,将可以帮助解决问题的所有相关人员包含在内,并与干系人就此问题进行沟通

答案: D。题目提到问题,首先想到问题日志,然后在含有记录或者更新问题日志的答案里选择一个更好的。D比A好在主动去了解问题、解决问题,而非直接汇报给发起人做问题升级。D要比A优先考虑。

2、施工工地受到风暴破坏,因而,项目经理授权采购计划中的替代材料以及获得额外的资源,确保让项目保持进度。做此决定时,项目经理利用了下列哪一份文件?

A. 风险登记册

B. 库存管理计划

C. 问题日志

D. 质量管理计划

答案: A。 题干讲一个意外的时间发生了,有可能会影响到项目的进度。项目经理授权采购“计划中的替代材料”,言下之意是暗示已经提前做了预防,属于已知风险发生了,那么应该是更新风险登记册。

3、 项目经理评审了各种项目文件,并创建了一段可能影响项目的风险清单以及其特性。这个过程将产生哪一份文件?

A. 风险登记册

B. 风险管理计划

C. 风险分解结构(RBS)

D. 风险影响评估

答案:A。本题考识别风险输出—风险登记册。风险是对项目造成消极或积极影响的不确定事件,风险清单和风险相关特性都是记录在风险登记册中的。

4、在评估到项目发起人识别到的紧急问题时,一名主题专家(SME)确定该问题对项目的可交付成果影响不大,项目经理首先应该怎么做?

A. 提出变更请求

B. 使用德尔菲技术

C. 更新项目管理计划

D. 更新问题日志

答案:D。项目中识别出了问题,应该先更新到问题日志中,然后再寻求解决方法。

5、下列哪一项会被认为是风险?

A. 新的市场法规很快将获得批准,这可能需要修订项目范围

B. 在项目初始阶段识别到设计缺陷

C. 一名主题专家(SME)离开项目,加入竞争对手的公司

D. 应急储备已被批准的变更请求耗尽

答案:A

6、在一个项目的生产设施中发生了一个自然灾害,使得生产线停工一星期。项目经理获得生产设施停工的通知,应该首先更新哪一项?

A.风险登记册

B.项目管理计划

C.工作分解结构(WBS)

D.问题日志

答案:A

7、在每周一次的项目干系人会议期间,产品支持经理提出一个对客户满意度很重要的问题,很可能需要一些产品的设计变更,项目经理下一步应该怎么做?

A、将该问题记录在问题日志中

B、更新项目管理计划

C、更新风险登记簿

D、创建变更请求

答案:A

8、一个项目经理被任命更换一个过时系统的项目。在安装期间,设备被损坏,并要求技术资源来修复。必须更新哪一个文件将这种情况与干系人沟通?

A、 问题日志

B、状态报告

C、事故管理计划

D、资源分配矩阵

答案:A

操作系统和应用程序漏洞评估

近年来,漏洞数量激增,全球组织对如何进行成功的漏洞评估感到困惑。若要解决此问题,需要首先确定要通过漏洞评估过程实现的目标,以便对其进行微调以满足组织的个人需求。

什么是漏洞评估

漏洞管理的目标是始终控制 IT 基础架构风险。漏洞评估过程是漏洞管理生命周期的关键部分,可帮助您确定漏洞对生态系统构成的风险,以便您可以区分应立即确定优先级以及可以按计划修补的内容。但是,在尝试将风险降至最低时,您可能会遇到没有直接方法修复漏洞的情况,或者修复问题会导致不良后果。

如何选择合适的漏洞评估工具

持续监测

IT 环境非常动态、复杂且不断发展。引入网络的每一个新系统或软件实例,与合作伙伴建立的每一个新连接,以及提供或接受的每项服务都带来了新的风险机会。

遗憾的是,一个可蠕虫漏洞就足以给业务带来重大停机、没收敏感的客户或员工信息、窃取关键业务信息或因不合规而造成的罚款和/或诉讼。在这种情况下,安排每月或每季度扫描不是一个好主意。您的漏洞评估软件应该能够持续扫描您的网络,以便在新漏洞出现时嗅出它们。

集中管理

最近涉及340名网络安全专业人员的网络风险管理的ESG研究表明,40%的人认为随着时间的推移跟踪漏洞是漏洞管理的最大挑战。为分布式异构 IT 环境提供集中可见性和管理的解决方案对于持续跟踪您的工作并保持在漏洞评估游戏中的领先地位至关重要。

基于风险的优先级划分方法

通常情况下,企业依靠 CVSS 分数和严重性评级来归零要修补哪些漏洞,但它们并非一直有效。例如,微软去年解决的12个公开利用的漏洞中有9个没有被评为重要。因此,必须采用一种解决方案,通过采用更严格的优先级方法来帮助您发现和消除潜在风险。

集成补丁管理

市场上的大多数漏洞管理软件都通过第三方集成提供修补。但是,使用多种工具进行漏洞评估和补丁管理会导致工作流程支离破碎且效率低下。

采用内置补丁功能的漏洞管理软件,帮助您自动关联相应漏洞的补丁,并在同一漏洞管理控制台规范和监控漏洞修复。

针对未修复漏洞的缓解解决方法

在某些情况下,补丁不适用于漏洞。例如,零日漏洞是未知的,供应商没有修补,并且已经被黑客利用。

您遇到类似情况的一个例子是,当一个心怀不满的安全研究人员在公共论坛上发布漏洞详细信息时,供应商对产品中的漏洞警告置若罔闻。在某些情况下,供应商在补丁到位之前无意中揭示了安全公告中漏洞的详细信息。

2020 年 3 月微软SMB v3 中无意中泄露的永恒黑暗漏洞细节就是一个例子。在补丁到来以永久修复漏洞之前,该工具可帮助您快速发现这些漏洞并有效地在所有端点上应用变通办法,以保护您的环境免受新威胁的侵害。

应对这些复杂的挑战需要正确的工具。Vulnerability Manager Plus是一款具有内置修补功能的优先级驱动型威胁和漏洞管理解决方案。

Vulnerability Manager Plus 漏洞评估解决方案

Vulnerability Manager Plus 是端到端漏洞评估软件,它使用不断更新的漏洞信息数据库来帮助您检测全球混合 IT 中的漏洞,并根据各种风险因素评估漏洞;它还有助于促进解决漏洞的适当行动方案。使用 Vulnerability Manager Plus,您可以:

  • 识别漏洞及其上下文,例如 CVSS 和严重性评分,以确定优先级、紧迫性和影响
  • 了解是否已针对漏洞公开披露任何漏洞利用代码
  • 密切关注漏洞在网络中驻留的时间
  • 根据影响类型和修补程序可用性筛选漏洞
  • 获得基于上述风险因素获取的高调漏洞的建议
  • 利用公开披露的漏洞和零日漏洞的专用选项卡,并利用变通办法在修复程序到来之前缓解它们
  • 隔离和识别关键资产中的漏洞,即保存关键数据的数据库和 Web 服务器,并执行关键业务运营

如何使用 Vulnerability Manager Plus 进行漏洞评估

Vulnerability Manager Plus 是一款以优先级为重点的威胁和漏洞管理解决方案,具有内置补丁管理功能。Vulnerability Manager Plus 利用多用途代理技术持续监控所有端点,无论它们是在本地网络中、远程位置还是在移动中。这可确保发现影响终端节点的所有漏洞并将其显示在 Web 控制台中。

许多组织面临太多漏洞,但修补它们的时间太少。例如,让所有Windows机器在星期二补丁日后的第二天更新所有新发布的补丁是不切实际的。但是,攻击者在公开披露后的一周左右内越来越成功地开发漏洞。这就是为什么组织需要巧妙地修补,而不是试图更快地修补并部署未经测试的补丁,这可能会破坏网络并延长停机时间。漏洞不会带来同等的风险。一些漏洞迫在眉睫,甚至在没有黑客煽动的情况下很容易被利用。这就是Vulnerability Manager Plus基于风险的漏洞评估流程发挥作用的地方。

如何通过基于风险的漏洞评估流程确定高度关键漏洞的优先级

漏洞评估过程的主要目标是确定高风险漏洞的优先级。漏洞的风险通常对应于它的可利用性,以及如果基础设施被利用将产生多大的影响。严重性评级和通用漏洞评分系统 (CVSS) 评级仅为您提供对风险的肤浅评估。了解为什么在漏洞评估过程中完全依赖 CVSS 分数会给您带来大量被归类为严重但几乎没有风险的漏洞。

除了 CVSS 分数之外,Vulnerability Manager Plus 还为您提供了一套全面的风险因素,以执行基于风险的多变量漏洞评估过程。其中包括:

  • 利用可用性和当前开发活动
  • 攻击者在利用漏洞时可以执行的操作类型(威胁影响类型)
  • 漏洞未修补的天数
  • 受影响的资产数量和资产关键性
  • 补丁可用性

了解漏洞利用可用性和漏洞利用活动

了解漏洞利用是否公开可用于漏洞对于确定漏洞优先级至关重要。这些是需要立即关注的漏洞,因为漏洞利用是野外的,任何人都可以利用它来闯入您的网络并窃取敏感数据。如果仅根据严重性修补漏洞,则可能会错过其他容易被利用的威胁性漏洞。在 2019 年 Microsoft 解决的 12 个公开利用的漏洞中,有 9 个仅被评为“重要”,而不是“严重”。Vulnerability Manager Plus 除了提供漏洞利用可用性信息外,还可以通过不断更新的安全新闻源让您了解新披露漏洞的漏洞利用活动。这有助于您立即集中精力保护端点免受这些备受瞩目的问题的影响。

确定漏洞在端点中潜伏的时间

一旦漏洞信息出来,时钟就会开始滴答作响,安全团队和威胁参与者之间的博弈就开始了。跟踪严重漏洞潜伏在端点中的时间至关重要。此外,一个最初看起来不那么严重的漏洞可能会随着时间的推移被证明是致命的,因为攻击者最终开发的程序可以以你从未想象过的方式最大限度地利用这些缺陷。最佳做法是立即解决具有可用漏洞利用的漏洞以及严重漏洞。归类为“重要”的漏洞更难利用,但仍应在 30 天内修复。任何被认为优先级低于“严重”或“重要”的漏洞都应在 90 天内修复。

在漏洞评估过程中包括资产关键性

有些资产比其他资产更重要。由于 Web 服务器位于网络的外围并暴露在互联网上,因此它们很容易成为黑客的目标。在定义评估范围时,数据库服务器(记录客户的个人信息和付款详细信息等大量信息)也应优先于其他资产,因为即使是此类业务关键型资产上的较低评级漏洞也可能带来高风险。Vulnerability Manager Plus 为您提供资产的向下钻取视图,显示其上是否安装了 Web 服务器、数据库或内容管理系统,以及这些特定安装上的漏洞。

如果发现中等到严重级别的漏洞影响了更大比例的 IT 资产,那么只有立即修补它们以降低整体风险才有意义。在这种情况下,您可以利用 Vulnerability Manager Plus 通过单个补丁部署任务清除多个端点中的一组漏洞。

根据影响类型对漏洞进行分类

尽管易于利用在风险评估中起着重要作用,但可利用的漏洞并不一定值得攻击。事实上,攻击者关注漏洞不仅仅是因为他们有现成的漏洞利用或需要较少的精力来利用,而是因为漏洞进一步推动了他们的目标。只有这样,可用性和漏洞利用的难易程度才会被考虑在内。Vulnerability Manager Plus 具有过滤器,可轻松识别造成特定影响的漏洞,例如拒绝服务、远程代码执行、内存损坏、权限提升、跨站点脚本、敏感数据泄露等。

如何自动化组织的补丁管理计划

可以安全地假设漏洞是对网络的持续威胁。需要手动干预才能始终如一地准确评估和解决备受瞩目的漏洞。但是,考虑到新漏洞出现的速度,手动很容易忽略某些关键漏洞,也很难减少网络中未修补漏洞的总数。

当您专注于最重要的事情时,让 Vulnerability Manager Plus 的内置修补模块通过自动执行修补(包括缺失补丁检测、下载、测试和部署到 Windows、Mac、Linux 和 300 多个第三方应用程序)的整个修补周期来定期清理网络中的漏洞。全面的修补功能使您能够选择要自动化的补丁标准、要修补的特定目标计算机/自定义组、灵活的部署策略、补丁测试和批准以及根据您的业务需求部署计划。此外,您可以使用预构建的基于周二补丁日的部署策略,将修补与每月的周二补丁日等同步。

如何处理无法修补的情况

当有关高度关键漏洞的详细信息已发布,但供应商尚未提供补丁时,请务必保持警惕并迅速采取行动保护您的资产。下面介绍了一些常见事件以及 Vulnerability Manager Plus 如何帮助您尽早缓解它们。

  • 案例一:零日漏洞 如果在供应商确认安全漏洞之前暴露漏洞的概念验证 (PoC) 代码,则可能会发生零日漏洞利用。这些漏洞仍未公开和修补,甚至在供应商知道之前就可能在野外被利用。
  • 案例2:安全研究人员公开披露的漏洞 心怀不满的安全研究人员可能会向公众发布漏洞的详细信息,以促使反应迟钝的供应商及时修复产品安全漏洞。还有一些供应商在补丁到位之前意外泄露了有关安全公告中的漏洞的信息的情况。一个很好的例子是最近泄露的Microsoft SMB v3中EternalDarkness漏洞的细节。

Vulnerability Manager Plus 如何帮助您加强网络免受零日漏洞和公开披露的影响

  • Vulnerability Manager Plus 包含一个专用选项卡,可将零日漏洞和公开披露的漏洞与其他漏洞分开显示,以便您可以立即识别并响应它们
  • 通常,需要两个或更多漏洞才能成功发起零日攻击。通过自动修补,您可以及时了解所有操作系统和应用程序的最新更新,从而阻止攻击者的尝试
  • 供应商通常会在进行修复时快速发布用于公开披露的解决方法。您可以使用 Vulnerability Manager Plus 的预构建缓解脚本立即将这些解决方法部署到所有受影响的计算机
  • 只要您的防病毒保护是最新的,您就应该在新的零日威胁的短时间内受到保护。防病毒审核功能使您能够嗅探出防病毒程序缺失、已禁用或过期的终结点。如果您的系统运行的防病毒应用程序过时,则可以利用 Vulnerability Manager Plus 的补丁管理功能,使用最新的定义文件使防病毒软件保持最新状态
  • 应对零日威胁的最佳选择是加强 IT 生态系统的安全性。利用安全配置管理功能阻止易受攻击的端口、禁用旧协议、关闭不安全的防火墙连接,以及禁用具有过多权限的意外网络共享,这些权限通常作为恶意软件横向通过网络的载体
  • 一旦补丁可用于零日威胁和公开披露,Vulnerability Manager Plus 就会在控制台的通知栏中提醒您,以便您可以立即应用它们来永久修复漏洞

您还可以实施进一步的安全控制,例如隔离受影响的计算机或将应用程序列入黑名单,直到使用应用程序控制解决方案提供修补程序或解决方法。

  • 案例 3:软件报废 运行报废软件的风险大于其好处。生命周期结束的软件不会从供应商那里收到安全更新,并且将永远容易受到攻击。旧版操作系统通常无法运行最新的应用程序,这意味着它被遗留应用程序所困,最终将达到生命周期的终点。受监管行业的企业也可能因运行过时系统而面临巨额罚款。Vulnerability Manager Plus 可帮助您跟踪哪些应用程序和操作系统即将或已经达到生命周期的终点。一旦它们达到生命周期结束,您可以采取进一步的措施,例如实施补偿控制,例如基于主机或网络的入侵防御系统,但建议您迁移到最新版本的生命周期结束软件,以一劳永逸地消除风险。

如何决定何时不打补丁

并非所有漏洞都需要修补。有时,修补可能会引入超出其好处的新问题。让我们看一下一些不太正常的情况,当我们可以推迟或不修补时。

将不太关键的补丁推迟到业务关键型服务器

服务器在允许更改和重新启动计算机时的时间窗口很短。始终建议仅在必要时修补它们,并推迟解决不太关键的漏洞的补丁,以防止长时间停机和中断正在进行的业务活动。Vulnerability Manager Plus 使您能够创建自定义组,以便隔离服务器,例如专用于任务关键型目的的服务器。完成此操作后,您可以在计划自动补丁部署到这些服务器组时排除不太关键的补丁。

减少有问题的补丁

在 Vulnerability Manager Plus 的自动补丁测试期间,某些补丁可能会出现问题,并且在部署到生产网络时可能会导致停机或中断应用程序功能。在这些情况下,Vulnerability Manager Plus为您提供了拒绝这些补丁的选项,并等待供应商发布补丁的修订版本。

Vulnerability Manager Plus 提供了大量交互式仪表板,以图形和图表的形式为您提供有关漏洞所需的所有情报。查看趋势和其他筛选器以做出明智的决策。 Vulnerability Manager Plus 仪表板中提供的图表和图形如何帮助进行有效的漏洞评估。

以上是关于区分风险和问题的主要内容,如果未能解决你的问题,请参考以下文章

第四章 资本成本

KS(Kolmogorov-Smirnov)(转)

PMP - 风险识别之风险登记册

gini基尼系数,累积准确度分布,AUC(风控模型核心指标)

验证码,又一安全风险“高地”

mysql模糊查询区分大小写的问题~~