大量攻击已被追溯到其相应的未修补漏洞,包括2017年信用报告机构Equifax的严重数据泄露事件。Tripwire2017年的一项研究发现,27%的攻击是由未修补的漏洞,而Ponemon2018年的一项研究发现了60%,这更令人惊讶。在过去的几年里,新发现的漏洞数量每年都在上升,这对于从事安全领域工作的人来说并不奇怪。与此同时,安全团队已经捉襟见肘,忙于实现安全的远程工作并解决其他与流行病相关的需求,同时还要应对人员短缺问题。因此,改进漏洞管理程序并不总是重中之重。然而,经验丰富的安全主管表示,大多数组织都存在一些常见的错误和失误,可以而且应该加以解决,以加强相关项目的安全性。以下是高管们表示CISO仍然经常犯的10个错误:1.未能获得高管的认可一个好的漏洞管理计划需要的工作远远超过安全团队可以处理的工作量。风险决策需要输入,修补需要IT专业知识,安排更新停机时间会影响多项业务功能。正因为如此,CISO需要组织中多个参与者的支持才能做好安全工作,托管服务提供商Thrive的首席技术官MichaelGray说,而且只有当他们得到业务高层领导的支持时。更有可能得到多方面的这种支持。另一方面,漏洞管理工作缺乏高级领导支持的CISO可能会因对可接受的风险水平不明确,以及IT和业务部门对安排补丁和系统停机时间的抵制而受阻。但也有一些好消息:格雷表示,随着网络安全已成为董事会层面的问题,首席信息安全官越来越多地得到高层领导的支持。分析公司Gartner的数据证实了这一趋势,该公司2021年的董事调查发现,88%的董事会现在将网络安全视为一种商业风险。2.未能形成共同的责任感UnderArmour的CISOAlexAttumalil表示,CISO承担了他们不应该承担的VM(漏洞管理)责任。CISO不拥有其组织支持的系统或业务功能,他们也没有唯一的权力来确定组织是否可以接受任何特定风险。“我们无权代表公司承担风险,因此我们必须收集大量信息,”他说。“CISO需要与业务领导就业务风险进行沟通,建立基于业务风险的漏洞管理,并让高层领导参与解决方案的决策。他们需要明白,他们应对企业引入的漏洞负责。这,Attumalil说,3.使用共同风险优先级排序根据安全供应商VulcanCyber??最近的一项研究,在接受调查的200多名企业IT和安全主管中,绝大多数人表示他们没有根据其组织的独特风险状况对漏洞进行优先级排序。具体而言,86%的受访者受访者表示,他们的组织依赖关于漏洞严重性的第三方数据来确定漏洞修复的优先级,70%的受访者还表示他们使用第三方威胁数据情报。经验丰富的安全主管警告不要采取这种做法,称这可能会导致CI??SO和他们的团队将有限的资源集中在不相关的威胁上。KLCConsulting为美国国防承包商提供网络安全咨询和vCISO服务,该公司总裁兼CISO-KyleLai推荐了一种独特的方法。他说,CISO和他们的团队必须了解自己组织的技术环境、最新的资产库存,以及组织的风险偏好和风险承受能力,这样他们才能识别组织面临的最大威胁并确定其优先级。他们应该清楚地了解特定漏洞可能造成的威胁有多大,哪些更严重,以及基于他们的4.缺乏培训LexmarkInternational的CISOBryanWillett表示修复Linux系统所需的技能是不同的与修复Windows所需的技能不同,这些技能不同于在漏洞管理程序中执行其他任务所需的技能。所需的技能也不同。此外,他还表示,安全人员进行漏洞管理所需的知识与IT人员在实际系统中打补丁所需的专业知识不同。所以他希望不同的团队能够为自己承担责任。职责所需的针对性培训。但安全主管表示,并非所有组织都致力于持续培训,为员工配备世界一流的安全能力,更具体地说,并不寻求为员工配备强大的漏洞管理能力。专家表示,组织有时会低估漏洞所需的专业化程度管理任务或员工接受有关其组织使用的特定系统或工具的培训的重要性。威利特补充道:“每个人都需要记住,员工有做正确事情的意愿,但我们必须对他们进行投资,这样他们才有能力做正确的事情。”5.未能跟踪代码Linux基金会的一项研究表明,越来越多的组织正在使用软件物料清单(SBOM)来更好地了解其组织系统中的所有代码。更具体地说,47%的公司正在生产或使用SBOM,78%预计将在2022年生产或使用SBOM(高于2021年的66%)。虽然这些数据显示SBOM的使用有所增加,但数据还表明许多组织可能仍不了解其IT环境中的所有代码。Lai说,这种缺乏可见性限制了他们判断组织中是否存在需要解决的漏洞的能力。他还表示,组织必须了解他们使用的是什么代码和开源组件,这样当发生像Log4J这样的攻击时,组织才能知道它存在的所有地方。6、推迟升级普华永道网络与隐私创新研究所专业服务负责人JoeNocera表示,虽然漏洞管理是一项永无止境的任务,但可以通过解决技术债务将其融入其中。更有效的程序。正如Nocera解释的那样:“组织可以下线或在标准堆栈上整合的遗留版本或事物越多,组织必须处理的漏洞就越少。这就是为什么简化和整合是提高能力的最佳方式。”好办法。”Nocera承认让遗留版本脱机和解决技术债务不会解决错误。但摆脱旧版本确实可以节省一些工作,因此企业可以通过消除无法再打补丁的系统来降低风险。他说,通过消除这些问题,安全和IT团队可以将注意力转移到解决更高优先级的问题上,从而提高项目的效率和有效性。尽管这种方法有好处,但许多组织并未将其作为优先事项:远程监控和管理云平台制造商Action1Corp发布的2022年端点管理和安全趋势报告发现,只有34%的受访者打算专注于“消除高风险已被云取代的遗留软件。”7.忽略有关新威胁的消息关于新漏洞或新出现威胁的第一个警告通常是缺乏细节的简短公告。赖说,尽管这些早期报告提供的信息有限,但安全团队不应忽视它们的重要性。事实上,跟踪来自不同安全来源的新闻和新闻头条以了解即将发生的事件非常重要。他说:“正在关注将要发生的事情,虽然这不会提供任何细节,但它会帮助你更好地为此做好准备,你可以提前开始行动或计划”8.应对每一个新的威胁一方面,ForresterResearch的高级分析师ErikNost告诫CISO:在应对突发新闻之前,必须提前评估突发新闻,判断突发事件对你的组织的影响。他说,越来越多的CISO正在学习如何处理零日漏洞和那些成为头条新闻的漏洞。确定哪些漏洞是头条新闻,哪些漏洞实际上对您的组织构成真正威胁可能具有挑战性。但是,要求安全团队优先修复收件箱中的每个漏洞或CEO在新闻中看到的漏洞并不是正确的做法。Nost指出康奈尔大学最近的一项分析表明,APT(高级持续攻击)比零日漏洞更有可能利用已知漏洞。因此,CISO还应该考虑威胁参与者以及APT是否有可能针对他们自己的组织。他说,安全团队应该优先采取主动、实际的步骤,而不是搞清楚媒体报道的内容。诺斯特补充说,团队时间紧迫。如果你对每一个漏洞都做出反应,你就会失去评估组织所面临风险的积极性,你将无法根据组织对风险的接受程度来积极修补那些更严重的威胁和漏洞。一旦零日漏洞或已知漏洞成为头条新闻,安全团队仍然需要对其采取行动,因此组织应该制定适当的程序来评估威胁。9.依赖过时的信息Gartner的董事会调查不仅显示大多数董事会现在将网络安全问题视为一种风险,而且还发现大多数受访者(57%)更加重视风险或预计风险将在2021-2022.与此同时,每年新发现的漏洞数量仍在逐年增长。典型企业的IT环境也在不断发展。综上所述,这些要点表明CISO需要制定流程来重新审视和审查其组织用于确定漏洞修复优先级的算法。格雷表示,公司通常不善于管理漏洞的生命周期。它一直在增长,它一直在变化,并且是一个持续的关注点。10.没有将安全整合到开发中大多数组织没有将安全整合到开发中,Nocera说。安全和安全设计原则,导致CI??SO和CIO错失合作机会,为他们的组织构建更有效的漏洞管理计划。Nocera还表示,尽早将安全问题引入开发过程(或“左移”)有助于让CISO在代码投入生产之前解决安全问题。这也减少了将已知漏洞引入环境的机会。“向左转移安全性并不一定会减少漏洞管理工作量,但就像让遗留系统脱机和解决技术债务一样,它释放了可以帮助团队优化漏洞管理工作的资源。”风险的最高权威,他们对组织中的每一项安全措施负责,旨在帮助董事会或非技术人员更好地了解组织当前和未来决策中涉及的安全风险。在自己的工作中,CISO需要了解组织的IT环境,对所使用的代码、组件和组织特征在风险接受能力方面有清晰、充分的了解,以便在威胁发生时能够准确定位,并且可以评估影响范围和修复的优先级。同时,安全从来都不是安全团队一个人的工作。为了实现其安全使命,CISO必须与其他部门协作,这些部门充当辅助决策角色。因此,CISO应该向相关人员提供最重要的安全信息,让他们清楚地了解组织的安全状况和面临的威胁。另一方面,CISO也需要在不影响其他部门工作效率的情况下,将安全工作无缝融入到其他部门的工作中,只有这样才能得到组织各部门的支持,并与他们进行全方位的合作。为组织提供安全保障。
