<div dir="ltr"><a href="https://www.riskbasedsecurity.com/2021/01/11/risk-based-vulnerability-management-and-coordination-the-right-security/">https://www.riskbasedsecurity.com/2021/01/11/risk-based-vulnerability-management-and-coordination-the-right-security/</a><br><br>Deana Shick, PSIRT Engineer at Intel Corporation, joins Jake Kouns, CEO and CISO at RBS to talk about how Risk Based Vulnerability Management and Vulnerability Coordination works in the “real world.”<br><br>Deana specializes in vulnerability management, vulnerability response & threat intelligence. Prior to her role she was PSIRT Lead at Rockwell Automation and was a member of the technical staff at the CERT Division at the Software Engineering Institute. She has also coordinated and developed responses to Information Security standards such as CVE and CVSS.<br><br>Deana has been involved in a number of important projects including:<br><br>Department of Defense Vulnerability Disclosure Program (VDP)<br>The Coordinated Vulnerability Disclosure guide for DOD<br><br>Check out this episode of <a href="https://www.youtube.com/playlist?list=PLkV2qhiMyRKspi14k6qALEGirECTVRHp9">The Right Security</a> for key insights of how vulnerabilities work in the real world.<br><br>Show Notes<br><br>0:00 – Welcome and speaker introduction<br>2:25 – Vulnerability disclosures in 2021 & year-end 2020 quick-view<br>3:08 – CVSS v2 vs. CVSS and use for vulnerability prioritization<br>5:10 – CVSS awareness amongst enterprise security teams<br>10:16 – Real risk-based vulnerability management <br>11:43 – CVSS v4 involvement<br>13:04 – SSVC use in a PSIRT role<br>18:00 – CVD and its value in vulnerability coordination<br>21:17 – Learnings from work on Coordinated Vulnerability Disclosure guide<br>23:40 – Researcher frustration with vulnerability coordination <br>26:08 – Difference between VDP and CVD <br>29:40 – Vendors piggybacking on MS patch Tuesday<br>33:26 –  Recommendations for continuing virtual learning in cybersecurity<br>37:00 – Figuring out what area of cybersecurity to get into<br><br>FURTHER READING<br><br><a href="https://insights.sei.cmu.edu/cert/2019/12/prioritizing-vulnerability-response-with-a-stakeholder-specific-vulnerability-categorization.html">2020: The Vulnerability Fujiwhara Effect – Oracle and Microsoft Collide</a><div><br></div><div><a href="https://www.riskbasedsecurity.com/2020/01/08/2020-the-vulnerability-fujiwhara-effect-oracle-and-microsoft-collide/">Prioritizing Vulnerability Response with a Stakeholder-Specific Vulnerability Categorization</a></div><div><br></div><div><a href="https://www.youtube.com/watch?v=o58wvnBqAyE">Vulnerability Prioritization and Disclosure, with Art Manion | The Right Security</a><br></div><div><br></div><div><a href="https://www.youtube.com/watch?v=BUuNbqhn-18">RVASec 2019 Deana Shick Intro to Infosec and Overview of the 101 Track</a>z</div><div><br>The Right Security<br><br>This is the latest in our video series The Right Security, in which we talk with leaders and veterans in the security industry, tackling the biggest issues impacting organizations today.<br><br>Check out The Right Security series on YouTube, and subscribe to the Risk Based Security channel to see new episodes in your feed.<br><br></div></div>