CISO需要教育员工在努力构建强大的漏洞管理程序时掌握安全基础知识的必要性。它的计划可能会受到需要注意的漏洞数量、解决漏洞所需的速度或有效所需资源的阻碍。例如,考虑安全团队在解决Log4j漏洞时面临的挑战。非营利组织认证网络安全专家协会(ISC)2最近的一项调查发现,52%的受访者花费数周或一个多月的时间来修复Log4j漏洞。诚然,Log4j缺陷具有广泛的影响,但安全专家表示,这个数字以及其他研究和他们自己的调查表明,许多企业仍在改进他们用来识别、优先处理和修复软件中安全问题的流程.以下一些最佳实践有助于构建有效的漏洞管理程序:1.了解您的环境安全专家强调,CISO需要准确了解他们需要保护的技术环境;已知和新发现漏洞的可用性。然而,这说起来容易做起来难。“每个人都说他们有安全措施,但通常需要更深入一点,”网络安全培训机构SANS研究所的认证讲师、安全技术提供商Scythe的首席技术官兼联合创始人JorgeOrchiles说C2矩阵项目。不知道幕后发生了什么。这仍然是最大的挑战。”他说,他已经看到成熟的安全操作构成了他环境的主要部分,但忽略了较小的元素和代码本身,这种疏忽可能导致未修补的关键漏洞被下载。Orchiles建议网络安全领导者确保他们拥有技术环境的详细记录,包括所有组件,例如编程库(事实证明,这对于企业修补Log4j漏洞至关重要)。此外,CISO带来的团队必须在每次推出新系统时不断更新该记录。2.有一个真正的计划(不仅仅是临时工作)来扫描漏洞并修复出现的任何问题似乎就足够了,但安全专家说临时方法既低效又不充分。例如,安全团队花费宝贵的时间修补对其业务构成有限威胁的漏洞,而不是优先处理高风险问题。或者他们忙于其他项目并推迟漏洞管理,直到他们有空闲时间。为防止这种情况发生,CISO应采用程序化方法进行漏洞管理,将组织对风险的容忍度与已识别漏洞流程的优先级排序、补救和缓解相结合。该计划还应确定组织执行漏洞扫描的频率,并应包括与供应商补丁发布日期相关的时间表。FaridAbdelkader是咨询公司Protiviti技术风险、IT审计和网络安全服务的常务董事兼ISACA纽约大都会分会主席,他补充说,一个好的漏洞管理计划应该有明确的流程和政策、特许团队和治理。Abdelkader还建议CISO使用关键绩效指标来显示他们的表现如何,看起来不错,确定需要改进的地方,然后指出随着时间的推移取得的进展。《足够安全吗?面向企业主和高管的20个网络安全问题》作者Austin表示,拥有成熟漏洞管理计划的组织有一个向业务主管报告其活动的流程,以便他们了解该计划及其跟踪记录的重要性。他指出,这有助于确保有效监督并像对待企业内的任何其他业务风险一样对待漏洞管理。3、根据企业自身风险定制。企业需要不断发现新的漏洞,结合已有的已知漏洞,修复这些问题几乎是不可能的。Abdelkader表示,企业必须找到一种方法来查明最重要的漏洞并确定修复工作的优先级。Abdelkader说:“企业了解事件的严重性。询问如果发生违规怎么办?这对数据有何影响?或者如果系统出现故障?这对您的业务、客户或声誉有何影响?企业需要了解这些资产的真正风险以及这些事情发生的真正风险。”这项工作可以以漏洞扫描、供应商和其他安全来源提供的分类(高、中、低)为指导,但该过程应考虑企业对风险程度、技术环境、行业等的承受能力。他解释说,“这与业务、关键资产和资源、数据、计算机或系统暴露于关键威胁有关。”他指出,作为一个孤立的系统会带来与当前系统不同的风险;因此,每个人都应该根据自己的风险获得不同级别的补救优先级。不过,他补充说,这种基于企业自身风险状况的定制和优先级排序并不总是会发生。他说,“我看到很多漏洞管理项目都是从列出漏洞扫描发现的内容、业务实际存在的关键风险以及真正的担忧开始的。”4.重新审视风险和优先事项提高组织的风险承受能力和建立工作优先级流程对于强大的漏洞管理计划来说都是至关重要的。但这些任务不能被视为已完成的任务。他们应该至少每年重新审视一次,Austin补充说,而且当组织内部或IT环境发生重大变化时。5.使用框架和系统MITREEngenuity技术基金会威胁情报防御研究与开发中心的联合创始人兼代理主任JonBaker表示,公司不需要开发自己的技术来帮助完成漏洞管理任务,因为许多已经开发了框架和系统。帮助CISO管理它的其他系统。“这些框架和系统可以帮助组织发现安全漏洞并了解网络攻击者如何使用它们,因此它们可用于确定漏洞及其响应的优先级,”Bake说。MITREEngenuity技术基金会拥有其常见漏洞和披露(CVE)系统,该系统自1999年以来一直提供有关公开已知漏洞和披露的信息(正如其名称所示),以及与这些漏洞相关的特定代码库版本。还有NIST特别出版物800-30,企业可以使用它来进行风险评估。此外,还有通用漏洞评分系统(CVSS),这是一个开放框架,组织可以使用它来评估安全漏洞的严重性,以便根据威胁级别对它们进行优先级排序。MITREEngenuityTechnologyFoundation也有其ATT&CK框架(利用CVE),组织可以使用该框架来确定需要他们注意的漏洞的优先级,作为全面的威胁通知防御策略的一部分。6.考虑直接供应商、第三方引入的漏洞Log4j漏洞问题如此严重的部分原因是Log4J工具无处不在,存在于企业IT团队和软件供应商开发的众多应用程序中。Baker说,Log4j漏洞在2021年底浮出水面这一事实也表明CISO需要了解、评估、优先考虑和缓解供应商产品中存在的或第三方引入的漏洞。他承认企业安全团队在这方面面临挑战,因为他们通常不知道供应商的解决方案中存在哪些漏洞,甚至可能无法在这些系统上运行漏洞扫描。“对于我们所依赖的系统所利用的代码和工具,我们确实缺乏透明度,”他说,并指出软件物料清单(SBOM)是软件中的组件列表,在某些情况下可以提供一些可见性。Baker建议CISO审查他们与供应商就他们在管理其产品漏洞中的角色达成的协议,然后在必要时寻求插入合同语言以限制错误被忽视或未修复的可能性。“这是组织漏洞管理计划的一部分:了解供应商和第三方如何跟踪、确定优先级和补救漏洞,”他说。7.创建制衡另一个最佳实践:不要将漏洞管理分配给IT团队。安全专家表示,CISO应该有专门的个人或团队负责识别漏洞、确定修复的优先级并监督补救和缓解措施的执行。“他们需要有人与进行实际修补的团队保持健康的关系,因为对于基础设施人员来说,通过进行更多修补使工作变得更加困难,这变得更加困难,”奥斯汀说。任何自我监督职能都非常容易受到冷漠或腐败的影响。因此需要制衡。”许多人同意,并指出CISO可以选择托管安全服务提供商(MSSP)来运行他们的漏洞管理程序,然后与内部基础设施、工程和/或开发团队合作实施补丁并处理任何所需的停机时间和所需的测试。8.投资于工具和团队安全专家强调,有效的漏洞管理,就像安全领域的其他一切一样,需要合适的人员、流程和技术。他们指出,许多企业都有所有这些部分,但并不总是让所有这三个部分有效地协同工作。Baker说,安全团队通常有扫描工具,但可能没有引入有效处理工作负载所需的自动化,而Orchiles表示,CISO和他们工作的公司必须承诺提供这些团队成功所需的资源。他指出,投资于车辆和团队似乎很直观,但并不总是遵循这样的建议。例如,看到CISO投资于一种新工具,但没有看到运行该技术所需的员工、充分利用它所需的培训以及所需的变更管理。他补充说,“没有这些,这些工具将无法工作。”
