Глобальная система навыков и компетенций для цифрового мира

Изучение уязвимости VURE

Проведение прикладных исследований для обнаружения, оценки и смягчения новых или неизвестных уязвимостей и слабых мест в системе безопасности.

Методические рекомендации:

Уязвимость безопасности - это слабость, недостаток или ошибка, обнаруженная в системе безопасности, которая потенциально может быть использована внешним агентом для компрометации защищенной системы.

Деятельность может включать, но не ограничиваться:

  • изучение новых угроз, векторов атак, рисков и потенциальных решений
  • обратное проектирование оборудования или программного обеспечения 
  • применение таких инструментов, как дизассемблеры, отладчики и фаззеры 
  • анализ встроенных устройств
  • разработка методов и инструментов для анализа и выявления уязвимостей
  • разработка новых методов обнаружения уязвимостей
  • обмен методами смягчения последствий с соответствующими заинтересованными сторонами.

Уровни ответственности за этот навык

3 4 5 6

Изучение уязвимости: Уровни 1-2

Этот навык, как правило, не соблюдается и не практикуется на этих уровнях ответственности и подотчетности.

Изучение уязвимости: Уровень 3

Применяет стандартные методы и инструменты для исследования уязвимостей. Использует доступные ресурсы для обновления знаний по соответствующей специализации. Участвует в работе исследовательских сообществ. Анализирует и отчитывается о деятельности и результатах.

Изучение уязвимости: Уровень 4

Разрабатывает и выполняет сложные мероприятия по исследованию уязвимостей. Определяет требования к среде, данным, ресурсам и инструментам для проведения оценок. Анализирует результаты тестирования и при необходимости вносит изменения в тесты. Создает отчеты для передачи методологии, результатов и выводов. Консультирует по методам обмана, используя выявленные закономерности. Вносит активный вклад в работу исследовательских сообществ.

Изучение уязвимости: Уровень 5

Планирует и управляет деятельностью по исследованию уязвимости. Поддерживает сильную внешнюю сеть в области исследования уязвимостей. Собирает информацию о новых и возникающих угрозах и уязвимостях. Оценивает и документирует воздействие и угрозы для организации. Создает отчеты и делится знаниями и идеями с заинтересованными сторонами. Предоставление экспертных консультаций и рекомендаций для поддержки внедрения инструментов и методов исследования уязвимости. Вносит вклад в разработку организационной политики, стандартов и руководств по исследованию и оценке уязвимостей.

Изучение уязвимости: Уровень 6

Планирует и руководит подходом организации к исследованию уязвимостей. Выявляет новые и возникающие угрозы и уязвимости. Поддерживает сильную внешнюю сеть. Принимает ведущее участие во внешних профессиональных мероприятиях, способствующих сбору информации и определению объема исследовательской работы. Взаимодействует с соответствующими заинтересованными сторонами и оказывает на них влияние, чтобы донести до них результаты исследований и необходимые ответные меры. Разрабатывает организационные политики и руководства по мониторингу возникающих угроз и уязвимостей.

Изучение уязвимости: Уровень 7

Этот навык, как правило, не соблюдается и не практикуется на этом уровне ответственности и подотчетности.