漏洞管理(VM)似乎无处不在,只要抓住任何一个企业IT人员,问漏洞管理是否到位,绝大多数人都会回答是肯定的。听起来每个人的IT系统都被缝得死死的,连一只苍蝇都飞不进去,但实际上呢?下雨时,这是锅碗瓢盆的交响乐。事实上,所谓的漏洞管理有多种实现方式,从定期渗透测试到全面的企业漏洞管理,任何一个疏漏都可能导致损失惨重。经常被谈论的漏洞风险几乎从未真正得到解决。安全牛对国内200名CSO读者进行的一项调查显示,26%的受访者表示曾因未能及时修补漏洞而遭受安全损失。正是由于企业漏洞管理水平跟不上不断增长的漏洞威胁,近年来漏洞管理市场一直在稳步增长,大量企业正在准备或已经升级或更换现有工具。但对于企业CSO和CIO来说,在投资或选择新的漏洞管理或漏洞风险管理相关工具和解决方案之前,他们需要明确如何判断漏洞管理项目的有效性?如何成功实施漏洞管理项目?在很多情况下,漏洞管理不是技术问题,而是管理问题。更准确地说,是企业的“卫生习惯”。下面安全大牛总结了七个高效漏洞管理的好习惯:1.赢得高层支持高层的态度对于一个漏洞管理方案来说意义重大,但是有高层管理就完全不同了说“是”而不是怀疑。具体来说,你的项目方案能在多大程度上得到领导的支持,很大程度上取决于你的表达能力和项目本身效果的“可视化”程度。如果成功或失败的价值或严重程度的差异不足以打动领导,那么你的预算自然是可有可无的。2.对基于资产发现的漏洞管理范围的任何限制都会增加可见性的风险。因此,资产发现必须是任何漏洞管理程序的核心组成部分。如果漏洞管理计划未能涵盖某些资产或特定业务领域,那么它在降低风险方面的效果就会降低,因为您无法消除未知风险。同样,如果资产发现不是连续的或高频的,则存在陈旧或扭曲的风险。3、高频扫描高频扫描听起来有点像“连续扫描”,给人一种不好的感觉。现实情况是,进行高频扫描通常有两个原因:第一,补充修复工作;第二,捕获风险状况的重要变化(例如,发现新的高风险漏洞)。但是有一点需要明确,扫描频率不是越高越好,而是要合理。频率设置需要与两个目标相关联:首先,如果您的维修节奏是每月一次,则每天扫描无助于改善结果。但是,如果您的变更管理不充分,请考虑通过更频繁地扫描来降低一些风险。理想情况下,扫描频率与修复节奏同步,并在发生变化时自动执行扫描。4.融入商业环境是第一要务。同样,漏洞风险也不是极限运动。如果只关注一些绝对的风险而忽视了经营环境和需求,那么就有可能“抓大放小”。撇开业务表上真正危险的“小”风险。高效漏洞管理的修复工作优先级需要考虑业务环境和系统环境中的漏洞。说白了,应该优先处理价值高、经营风险大的资产。5.异常不是你无法管理不知道的风险的借口,通过扫描创建异常会带来很多未知的风险。环境中很可能存在不可扫描的设备,这些设备通常是分布稀疏的遗留设备。但这些“角角落落”的异常并不是异常的原因。靠近窗户的旧复印机有多危险?只有那些主动映射和改进保护面的公司才能防患于未然,并在漏洞管理方面表现出色。杰出的。6.指标管理三人入虎的恐慌性抛售策略(FUD)多年来一直是网络安全行业的标准做法,但有效的漏洞管理方案不能建立在FUD策略上,而应该基于指标。只有把“好”标出来,才能有效地评价作品,找出作品的不足。7、漏洞修复重在流程整合发现和评估漏洞风险的目的不是为了出一份漂亮的报告。关键是做出更好的风险缓解决策,关键是采取行动解决问题并交付成果。有效的漏洞管理必须与有效的修复相结合。不幸的是,没有任何漏洞评估工具会自动执行补救措施。必须将有效的漏洞管理方案与修复工作流集成,才能有效提升企业的漏洞管理水平,但难点在于企业中往往存在大量的工作流,集成存在的情况相当多。需要先“追根究底”,再“追根究底”,弄清楚业务的业务流程和不同部门的工作方式,再弄清楚如何将补救工作融入到流程中。市场上已经有大量的漏洞评估产品,但在有效的漏洞管理方面仍有很大的改进空间。以上七大原则不一定能让你“七步成诗”,但如果能给你的工作带来一些新的思路和灵感,就足够了。
