可见、可用、可衡量——企业高效漏洞管理的目标与实现缺乏科学有效的漏洞管理方案和能力。网络安全培训和认证机构SANSInstitute的一项调查发现,超过39%的受访公司要么非正式地处理网络漏洞风险,要么根本没有计划。今年年初,美国联邦贸易委员会(FTC)就解决Log4j问题向企业界发出正式通知,并警告相关企业需要立即采取措施应对。一旦发生经济损失和其他不可挽回的伤害,企业和责任人将被相关法律追究责任并提起诉讼,包括《联邦贸易委员会法》和《格雷姆·里奇·比利雷法案》(GrammLeachBlileyAct)。在我国,由公安部、工业和信息化部、国家互联网信息办公室联合制定的《网络产品安全漏洞管理规定》于去年9月正式实施。系统漏洞责任主体要提高相关单位漏洞管理水平,畅通漏洞信息接收渠道,及时核实并完成漏洞修复,防范重大网络安全风险事件发生。在网络世界中,安全漏洞将长期存在。所谓安全,不仅仅指“安全”或“不安全”,还取决于企业发现漏洞和应对漏洞的速度。只有科学的手段才能实现高效的漏洞。管理上,网络系统将变得更加安全和健壮。企业漏洞管理能力演进大量数据和案例表明,虽然漏洞评估和管理工具不断丰富,但企业漏洞管理方案和工作还存在很多需要完善的地方,如人才和资金不足,缺乏对漏洞风险的预测和感知能力、企业信息化孤岛和部门协作、漏洞修复效率低下等。同时,随着攻击技术的快速提升,漏洞风险也在增加。对于企业安全团队,可以通过漏洞管理成熟度模型来衡量企业组织当前的漏洞管理水平。漏洞管理成熟度模型主要包括以下五个阶段:漏洞管理成熟度模型示意图1.初始阶段本企业在第二阶段要么没有任何漏洞管理措施,要么只做临时测试。2.管理阶段这个阶段的企业可以在内部自愿进行漏洞扫描,每周或每月一次,通常是为了应对外部监管。3.定义阶段此阶段的漏洞管理为公司所了解,并得到公司管理层的支持。漏洞扫描比较频繁,但是专业工具的应用还是比较有限。4.量化管理阶段这个阶段的公司有可量化和可衡量的指标来定义可接受的风险水平。5.优化管理阶段在这个阶段,第四阶段定义的指标用于实现管理改进和优化,所有优化指标用于减少组织的攻击面。高效漏洞管理的12个步骤对于企业CSO和CIO来说,在投资或选择新的漏洞管理或漏洞风险管理相关工具和解决方案之前,首先需要明确你是如何判断漏洞管理项目的有效性的?如何成功实施漏洞管理项目?很多时候,漏洞管理不仅仅是一个技术问题,而是一个综合性的企业管理问题。它应该是程序性的,包括计划、行动、协调、问责和持续改进。下面总结了企业进行高效漏洞管理的12个步骤和建议:1.组建一支可靠的专业安全团队进行有效的漏洞管理涉及方方面面,从定期渗透测试到全面的企业漏洞管理,任何疏漏都可能造成危害.因此,需要专业可靠的安全团队进行保护。在这个安全团队中,除了部署负责漏洞管理和修补的安全分析师外,其他业务利益相关者,例如数字业务部门的员工,可以解释当业务系统被处置时,组织可能面临影响,因此该团队可以更好地制定和实施漏洞管理工作计划。2.基于全面的资产发现对于企业组织的安全团队来说,掌握最新的IT资产清单是有效的漏洞管理计划的基本要求。这已成为共识,但实践起来却非常困难。特别是在当今的企业环境中,物理设备、远程终端、物联网组件、云服务、软件即服务(SaaS)和开源代码组件等大量系统和应用程序泛滥成灾,希望获得一个全面的及时更新资产库存非常困难。修行虽然困难,但这些都必须考虑和了悟。3.提高网络可见性有了全面的资产清单,下一步就是通过了解企业IT环境的互连性、数据流和集成环境,大力追求网络可见性。对漏洞管理范围的任何限制都会增加可见性风险。因此,资产发现必须是任何漏洞管理程序的核心组成部分。如果漏洞管理计划未能涵盖某些资产或特定业务领域,那么它在降低风险方面的效果也会降低,因为未知风险比已知威胁更难防范。同样,如果资产发现不是连续的或高频的,则存在陈旧或扭曲的风险。4.更积极地扫描漏洞研究公司Veracode的调查显示,扫描更频繁的企业修复漏洞的速度往往更快,每日漏洞扫描所需的平均漏洞修补时间仅为19天,而每月扫描68天组织或更少。但是有一点需要明确,扫描频率不是越高越好,而是要合理。理想情况下,扫描频率与修复节奏同步,并在发生变化时自动执行扫描。同时,为了获得更好的扫描结果,除了运行更常用的基于代理的软件和网络扫描仪之外,组织还应包括凭证扫描、弱配置扫描和缺失补丁搜索。5.改进漏洞管理工作流程发现和评估漏洞风险的目的不是为了生成一份漂亮的报告。关键是做出更好的风险缓解决策,关键是采取行动解决问题并交付成果。企业必须整合有效的漏洞管理流程和修复工作流程,才能有效提升企业漏洞管理水平。但难点在于,企业内部往往存在大量的内部工作流程,整合存在的也不少。成熟、全面的漏洞管理程序需要记录在案且经过深思熟虑的工作流程。此外,为了更好地合作,组织应该开发一个通用的操作图,为所有从事漏洞管理的团队成员提供相同的数据和情报。6.建立和跟踪关键绩效指标验证漏洞管理控制有效性和执行情况的最佳方法是使用指标来衡量当前漏洞管理工作的有效性。组织可以使用当今常用的关键绩效指标,例如及时修复的关键漏洞的百分比和未及时修复的关键漏洞的百分比来衡量当前状态并跟踪随着时间的推移的改进。时间、平均修复时间、漏洞引发事件数、漏洞重启率等评估参数。7.行业安全基准分析跟踪KPI可以帮助您了解自己公司的漏洞管理计划是否随着时间的推移而改进,但您还需要衡量行业内其他公司的管理水平和能力。对标可以帮助企业与同行和竞争对手比较漏洞管理绩效,也可以向公司管理层证明当前的漏洞管理计划是有效的。甚至可以作为公司业务在市场竞争中的差异化因素,帮助公司增加业务收入的增长。8、利用合法的第三方测试服务目前,很多公司都将漏洞赏金计划作为管理漏洞的重要一环。使用道德黑客可以帮助企业从另一个角度发现安全漏洞。这确实是解决方案的一部分。一种有效的方法。对于较小的组织或专业知识有限的组织,还可以设置内部漏洞赏金计划来奖励所有发现漏洞的内部员工,或者与提供此类服务的外部方或网络安全公司合作,以充分利用额外的专业知识。9.合理设定预期并实时调整常见漏洞和暴露(CVE)列表中公开披露的计算机安全漏洞数量持续增长。程序专注于他们实际计划解决的漏洞。如果一个组织只计划解决高评级漏洞,为什么要扫描低风险漏洞?但漏洞治理方案不能忽视公司数字化业务环境的特点和需求,不能因“抓大放小”而导致业务出现问题。“小”损失风险。高效漏洞管理的修复工作优先级需要考虑业务环境和系统环境中的漏洞。10、获得公司管理层的支持和认可。企业的安全团队早就知道解决IT环境漏洞的重要性。鉴于漏洞引发的安全事件越来越多,其危害性也越来越大,许多企业的管理层也逐渐意识到了这一点。任务的重要性。公司管理层的态度对漏洞管理项目具有重要意义。要说服高层,而不是带着怀疑口头上表示“支持”。具体来说,企业的项目计划能否获得领导的支持,很大程度上取决于漏洞管理项目本身的“可视化”程度。如果成功或失败的价值或严重程度的差异不足以打动领导,那么漏洞安全管理的预算和实施自然是可有可无的。11.明确谁负责漏洞管理。要有一个有效的漏洞管理计划,组织必须建立明确的工作负责人。否则,一旦出现问题,团队中的每个人都会相互指责。管理负责人不一定是CISO,因为他们通常没有足够的时间来跟踪KPI和管理团队。大型企业通常有足够的漏洞管理工作来拥有专职的漏洞管理负责人角色,但中小型企业也应该明确将此职责分配给特定的负责人。12.使激励与计划改进、结果相一致除了为计划分配责任外,组织还应建立激励措施,例如与改进KPI相关的奖金。而且,不仅要激励负责修补错误的团队,还要激励整个组织的利益相关者。这些激励措施可以是额外补偿、奖金、休假或其他公认的形式。
