多起数据泄露事件可以追溯到未修补的漏洞,包括2017年信用报告机构Equifax发生的大规模数据泄露事件。Tripwire2019年的一项研究发现,27%的泄露事件是由未修补的漏洞造成的,而Ponemon2018年的一项研究表明,这一数字高达60%。这不应该让安全领域的任何人感到惊讶:在过去几年中,发现的漏洞数量每年都在增加。与此同时,安全团队不堪重负,因为他们一直在努力实现安全的远程工作和其他与COVID相关的问题,同时还要处理人员短缺问题。因此,改进您的漏洞管理程序并不总是当务之急。然而,一些高级安全负责人表示,他们看到了可以而且应该解决的常见错误和失误,以加强这些计划。以下是他们指出的CISO仍然经常犯的10个错误:1.未能让业务主管支持良好的漏洞管理计划需要远远超出安全团队范围的工作。风险决策需要企业管理层的投入,修补漏洞需要IT专业知识,计划的更新停机时间会影响多项业务功能。因此,CISO需要企业中多个参与者的支持才能做好这件事,托管服务提供商Thrive的首席技术官MichaelGray说。他们更有可能获得成功。另一方面,缺乏高管层对其漏洞管理工作的支持的CISO可能会因对可接受的风险缺乏清晰度以及IT和业务部门反对安排补丁和系统停机时间而受阻。但也有一些好消息,Gray和其他人说,随着网络安全已成为公司董事会关注的问题,CISO越来越多地发现他们需要高管支持。研究公司Gartner的数据证实了这一趋势,该公司2021年的调查发现,88%的公司董事会现在将网络安全视为一种商业风险。2.没有培养共同的责任感UnderArmour首席信息安全官AlexAttumalil表示,“首席信息安全官不应该承担漏洞管理的所有责任或风险。”首席信息安全官不拥有他们支持的系统或业务功能,也无权单独决定企业是否愿意接受任何特定风险。“我们不能代表企业完全接受风险,”他说。“它需要与其他业务负责人沟通风险,开发基于业务风险的漏洞管理框架,并让他们成为解决方案的一部分。他们需要知道他们对引入其系统的漏洞负责。。Attumalil说,这种方法涉及CISO以外的业务主管,在漏洞管理工作中创造更多支持和协作,例如安排系统停机时间进行修补。3.使用通用风险优先级排序Pulse最近为安全供应商VulcanCyber??进行的一项研究发现,在200多位做出回应的企业IT和安全主管中,绝大多数并未根据其组织自身独特的风险状况对漏洞进行优先级排序。优先顺序。更具体地说,该研究显示,86%的受访者表示他们将依靠第三方漏洞严重性数据来确定漏洞的优先级,70%的受访者还使用第三方威胁情报。信息安全官及其团队将有限的资源集中在错误的威胁上。向美国国防承包商信息安全官KyleLai提供网络安全建议和vCISO服务的KLCConsulting总裁兼首席执行官提出了一种不同的方法。他表示,CISO及其团队必须了解企业自身的技术环境,并拥有最新的资产清单。他们必须了解企业的??风险偏好和风险承受能力,以便他们能够识别对其业务的最大威胁并优先消除这些威胁,他说,“他们应该了解特定威胁可能产生的影响有多大,并且他们应该知道哪些更严重。并根据对您业务的影响设置优先级。4.忽视安全培训LexmarkInternational的首席信息安全官BryanWillett认识到,为Linux系统打补丁与为Windows打补丁需要不同的技能,而且这些技能也不同于在他的漏洞管理程序中执行其他任务所需的技能。所需的技能。此外,他的安全人员需要的漏洞管理知识不同于他的IT人员在实际系统中打补丁所需的知识。“所以我希望这些团队接受必要的培训,以承担起他们的责任。但安全负责人表示,并非所有组织都致力于为员工提供持续的安全教育,以提供世界一流的安全性,更具体地说,是强大的漏洞管理能力。专家表示,组织有时会低估漏洞管理任务所需的专业化程度,或者他们忽视了对员工进行自身业务中使用的特定系统或工具培训的必要性。威利特补充说:“每个人都需要记住,员工希望做正确的事。事情,但我们必须投资于他们,这样他们才能做正确的事。5.无法跟踪代码Linux基金会的研究表明,越来越多的企业正在使用软件物料清单(SBOM)来更好地了解其系统中的所有代码。更具体地说,该报告表明,47%的企业正在制作或使用软件物料清单(SBOM),78%的企业预计将在2022年制作或使用软件物料清单(SBOM)(高于2021年的66%)。).虽然这些数字表明软件物料清单(SBOM)的使用有所增加,但它们仍然表明许多企业可能并不了解其IT环境中的所有代码。Lai说,缺乏可见性限制了他们了解自己是否存在需要解决的漏洞的能力。“你必须知道那里有什么代码以及那里有什么开源组件,所以当出现像Log4J这样的漏洞时,你知道它在那里的所有地方,”他说。研究所所长JoeNocera表示,虽然漏洞管理是一项永无止境的任务,但可以通过解决技术债务将其纳入更有效的计划中。正如Nocera所解释的那样:“您越能淘汰遗留版本或在标准堆栈上进行整合,您就越不需要管理漏洞。这就是为什么我认为简化和整合是您可以获得的最佳力量倍增器。”Nocera承认,消除遗留系统和解决技术债务肯定不会消除漏洞。但摆脱遗留系统确实减少了一些工作,并且通过允许企业摆脱无法再修补的系统来降低风险。他说,通过解决这些问题,安全团队及其IT同行可以将注意力转移到解决剩余的优先事项上,从而使该计划更加有效和有影响力。尽管这种方法有很多好处,但许多企业并未将其作为优先事项:来自远程监控和管理云平台制造商Action1的2022年端点管理和安全趋势报告发现,只有34%的受访者计划专注于消除有风险的遗留软件它们已经被云计算替代品所取代。7.忽略有关新出现威胁的消息关于新漏洞或新出现威胁的最初警告通常来自缺乏很多细节的简短公告。尽管这些早期报告附带的信息有限,但安全团队不应忽视它们的重要性。事实上,赖说,跟踪来自各种安全来源的新闻和头条新闻以了解即将发生的事情是至关重要的。“你想关注即将发生的事情,”他说。“他们可能不会提供任何细节,但这种情报可以帮助企业更好地准备开始工作或计划。”新威胁另一方面,ForresterResearch的高级分析师ErikNost警告说,CISO在未首先评估突发新闻是否会以及在多大程度上会影响他们自己的业务之前,不要对突发新闻做出反应。反应。他说:“许多CISO仍在学习如何处理零日漏洞和越来越频繁地成为头条新闻的漏洞。梳理一些耸人听闻的新闻以及哪些漏洞对其组织构成实际威胁是一项挑战,但要求团队修复他们在收件箱中看到的所有内容或CEO在新闻头条中看到的内容并不是正确的方法。”Nost指出康奈尔大学最近的一项分析表明,高级持续性威胁(APT)比零日攻击更有可能利用已知漏洞。因此,Nost说,“CISO还应该考虑威胁参与者,并考虑高级持续威胁(APT)是否可能以他们的组织为目标。”他说,安全团队应该将主动攻击视为一种更好的方法。优先考虑重要的事情,而不是媒体谈论的内容。Nost补充说,“团队时间紧迫。如果他们试图修补Twitter上弹出的每个漏洞,他们就不会根据可接受的风险偏好积极评估其组织的特定风险,并修复代表的漏洞最大的威胁。如果存在零日漏洞或成为头条新闻的漏洞,可能仍需要采取行动,因此他们的团队应该制定有关如何评估威胁的程序。只需记住遵循既定的剧本、风险偏好和威胁9Gartner的调查显示,大多数董事会成员现在将网络安全视为一种风险,并且大多数(57%)的董事会成员已经增加或预计在2021年至2022年,与此同时,每年发现的新漏洞数量持续增长,传统企业的IT环境也在不断演变,专家表示这些观点表明,CISO需要制定流程来重新审视和审查他们的计算,以优先考虑漏洞缓解和补救措施。“很多时候,组织并不擅长管理漏洞的生命周期,漏洞的数量在不断增加和变化,这是需要持续关注的事情,”格雷说。10.Nocera说,没有将安全性嵌入到开发过程中,没有多少组织将安全性和设计安全性原则嵌入到开发过程中,导致CI??SO和CIO错失了合作构建更强大的漏洞管理程序的机会他们的组织。Nocera说,将安全性更早地引入开发过程(或“左移”)允许CISO在代码投入生产之前提前解决安全问题,因此不会将已知漏洞引入环境中。Nocera说,向左移动不一定会减少漏洞管理工作量,但就像消除遗留系统和技术债务一样,它确实释放了资源,因此团队可以优化他们的漏洞管理工作。
