回答:
他の誰かがSecurityFocusについて言及しましたが、より一般的なセキュリティ関連の問題(ITに固有ではない)については、セキュリティに関するSchneierをお勧めします。彼のブログでは、ITセキュリティだけでなく、その他のセキュリティトピックについても触れています。彼が論じているより一般的な問題のいくつかは、IT運用に引き継がれる一般的なセキュリティをより意識するのに役立つことがわかりました。
正直なところ、私が行う主なことは、パッチを最新の状態に保つことです。これには、メインのOSベンダー以外からインストールするソフトウェアのアナウンス/セキュリティメーリングリストに載ることも含まれます。
それ以外のものは、費用対利益の分析の「価値があるよりも多くの努力」の側面に落ち始めます。自分でカスタムパッチを作成することもできますが、テスト済みの更新プログラムをベンダーがリリースするのを待つよりも、何かを壊す可能性が高くなります。
常に新しい脅威があります。あなたは本当にそれらすべてに追いつく時間がありますか?影響を受ける構成で問題のプログラムを実行していないかどうかさえ気にしますか?
可能な最小の攻撃面と、最小の妥当な攻撃ウィンドウを提供することに集中してください。つまり、必要なものだけを実行し、可能な限りすべてをファイアウォールで保護し、最新のパッチを維持します。
Securityfocusは私のお気に入りです。私は自分のRSSリーダーでこのフィードを購読しています。そのボリュームは従うために管理可能です。有名なBugtraqメーリングリストもホストされています。
ベンダーの(セキュリティ)アナウンスリストがある場合は、それをサブスクライブすることもお勧めします。
SecurityFocusには、ベンダーと製品によって分類された1つの大きな脆弱性データベースがあります。また、Symantec DeepSight Alert Servicesを購入して、お持ちのソフトウェアを選択したり、脆弱性の通知方法を選択したりすることもできます。
グローバルセキュリティの脅威について通知するSymantecの補足サービス(Threat Alert)があります。
同じ種類の行で、OSVDB(オープンソース脆弱性データベース)を使用(および貢献)できます。
セキュリティツールについて知りたい場合は、darknetが非常に便利です。
US-CERTは毎週脆弱性の概要を発表しています。それはかなり包括的で、それをすくうのに通常数分しかかかりません。電子メールまたはRSSで購読できます...
私はいくつかのセキュリティ関連のリソースを追跡しています。私のお気に入りはSchneierとInternet Storm Center(SANSの一部)です。残念ながら、Schneierを長く読むほど、エントリを読んだ後、「うん、でも……」と思うようになります。そうは言っても、彼は信じられないほどの暗号学者を作り、セキュリティを念頭に置いて考えることを確かに助けることができます。 ダークリーディングは、セキュリティアナリストにとってもう1つの優れたリソースですが、一般的なIT担当者にとっては見逃されがちです。
それ以外の場合は、他の誰もが言及しているように見えることを行います。ベンダーまたはその他の方法で使用するパッチまたはアナウンスリストを購読してください。Secuniaメーリングリストを購読して、何が発生するのかを一般的に監視します。ほぼ週に1回、Secuniaを通じて宣伝された脆弱性からパッチが適用されているかどうかをシステム管理者に尋ねています。
それは本当にあなたがセキュリティにどれだけ興味を持っているかにかかっています。社内にある資産にセキュリティ問題があるかどうかを監視したいだけですか?それともセキュリティが本当に好きですか?
アドバイザリの監視プロセスのリストについては、プロジェクトクアントをチェックすることもできます。http: //securosis.com/projectquant/details-monitor-for-advisories
最近誰かが100を超えるセキュリティ関連のRSSフィードの優れたリストを作成しました:exoticliability.com/forum/topics/list-of-feeds-for-infosec
また、Open Security FoundationのプロジェクトであるOSVDB(Open Source Vulnerability Database)を恥知らずにプラグインします。さまざまなソース(milw0rm、Bugtraq、secunia、CVEなど)から結合された脆弱性情報を取得するのに最適な場所です。