按照《网络产品安全漏洞管理规定》的说法,安全漏洞的责任主体包括两类:一类是网络产品提供商和网络运营商,一类是从事安全漏洞发现、收集和发布的组织或个人活动的网络产品安全漏洞。企业作为网络运营商,在其中扮演着重要的角色。有一个定期的漏洞扫描计划许多组织认为临时扫描漏洞和补救就足够了,但这是低效的并且不能充分保护网络。为防止网络攻击通过漏洞进行,组织应采用程序化的漏洞管理方法,将组织对风险的容忍度与确定漏洞的优先级、修复和缓解流程相结合。这有助于确保有效的监督,并像对待企业内的任何其他业务风险一样对待漏洞管理。检查风险和优先级企业需要经常检查他们可以容忍的安全风险并确定优先级以提高企业的风险承受能力并建立工作优先级流程,这对于强大的漏洞管理计划至关重要。它应该至少每年重新访问一次,每当企业或IT环境发生重大变化时。根据您自己的风险进行定制企业不断发现新的漏洞,这些漏洞与现有的已知漏洞相结合,不可能一次修复所有漏洞。至关重要的是,组织必须找到一种方法来查明最重要的漏洞并确定修复工作的优先级,这些漏洞可以根据漏洞扫描、供应商和其他安全渠道指南进行分类(高、中、低),但该过程应考虑企业对风险的承受能力、技术环境、行业等。使用框架和系统组织不需要独立开发技术来帮助完成漏洞管理任务,因为许多组织已经开发了框架和其他系统来帮助CISO管理它们。这些框架和系统可以帮助组织查看安全漏洞并了解网络攻击者如何使用它们,因此它们可用于确定漏洞及其响应的优先级。
