Изучение уязвимости VURE
Проведение прикладных исследований для обнаружения, оценки и смягчения новых или неизвестных уязвимостей и слабых мест в системе безопасности.
Методические рекомендации:
Уязвимость безопасности - это слабость, недостаток или ошибка, обнаруженная в системе безопасности, которая потенциально может быть использована внешним агентом для компрометации защищенной системы.
Деятельность может включать, но не ограничиваться:
- изучение новых угроз, векторов атак, рисков и потенциальных решений
- обратное проектирование оборудования или программного обеспечения
- применение таких инструментов, как дизассемблеры, отладчики и фаззеры
- анализ встроенных устройств
- разработка методов и инструментов для анализа и выявления уязвимостей
- разработка новых методов обнаружения уязвимостей
- обмен методами смягчения последствий с соответствующими заинтересованными сторонами.
3 | 4 | 5 | 6 |
Levels of responsibility for this skill
Изучение уязвимости: Уровни 1-2
Этот навык, как правило, не соблюдается и не практикуется на этих уровнях ответственности и подотчетности.
Изучение уязвимости: Уровень 3
Применяет стандартные методы и инструменты для исследования уязвимостей. Использует доступные ресурсы для обновления знаний по соответствующей специализации. Участвует в работе исследовательских сообществ. Анализирует и отчитывается о деятельности и результатах.
Изучение уязвимости: Уровень 4
Разрабатывает и выполняет сложные мероприятия по исследованию уязвимостей. Определяет требования к среде, данным, ресурсам и инструментам для проведения оценок. Анализирует результаты тестирования и при необходимости вносит изменения в тесты. Создает отчеты для передачи методологии, результатов и выводов. Консультирует по методам обмана, используя выявленные закономерности. Вносит активный вклад в работу исследовательских сообществ.
Изучение уязвимости: Уровень 5
Планирует и управляет деятельностью по исследованию уязвимости. Поддерживает сильную внешнюю сеть в области исследования уязвимостей. Собирает информацию о новых и возникающих угрозах и уязвимостях. Оценивает и документирует воздействие и угрозы для организации. Создает отчеты и делится знаниями и идеями с заинтересованными сторонами. Предоставление экспертных консультаций и рекомендаций для поддержки внедрения инструментов и методов исследования уязвимости. Вносит вклад в разработку организационной политики, стандартов и руководств по исследованию и оценке уязвимостей.
Изучение уязвимости: Уровень 6
Планирует и руководит подходом организации к исследованию уязвимостей. Выявляет новые и возникающие угрозы и уязвимости. Поддерживает сильную внешнюю сеть. Принимает ведущее участие во внешних профессиональных мероприятиях, способствующих сбору информации и определению объема исследовательской работы. Взаимодействует с соответствующими заинтересованными сторонами и оказывает на них влияние, чтобы донести до них результаты исследований и необходимые ответные меры. Разрабатывает организационные политики и руководства по мониторингу возникающих угроз и уязвимостей.
Изучение уязвимости: Уровень 7
Этот навык, как правило, не соблюдается и не практикуется на этом уровне ответственности и подотчетности.