企业必须认识到,漏洞管理不再仅仅是一个“掌控一切”的问题。每天进入系统的新漏洞的数量将永远大于企业采用实际方法修复的数量。
那么,如何提高漏洞管理的有效性,从而开始专注于最重要的漏洞呢?以下是企业有效地进行漏洞管理的5个步骤:
(1)将资产和漏洞集中在一个清单中
在企业能够很好地进行漏洞管理之前,需要更清楚地了解自己的资产。美国网络安全中心(CIS)将“企业资产的库存和控制”列为其推荐的网络防御行动中最重要的安全控制措施。这是因为企业在开始进行漏洞管理之前需要对其资产有着清晰的了解。
为了获得完整的信息,企业需要整合现有的资产和漏洞数据,这些数据来自资产管理工具、配置管理数据库(CMDB)、网络扫描器、应用程序扫描器和云计算工具。为了避免麻烦,不要忘记对这些数据进行重复数据消除和关联,以便每个资产只存在一个实例。这项工作对于了解企业的脆弱性风险至关重要。
(2)确定关键业务资产
在企业的运营环境中,并不是所有的计算机系统都同样重要。没有生产数据的测试系统上的关键漏洞远远没有企业工资单系统上的相同漏洞重要。所以,如果企业没有制定关键业务资产清单,现在是开始编制的好时机。
企业的事件响应团队也对其关键业务资产非常感兴趣。如果企业没有名单,他们可能会有。此外,如果企业的努力使在业务资产上可利用的漏洞更少,那么对这些业务关键型资产具有不利影响的安全事件就会越来越少。
(3)利用威胁情报丰富漏洞数据
2022年,全球平均每个月披露2800个新漏洞,这意味着,为了确保漏洞数量不会增加,企业必须每月修复2800个漏洞。如果想取得进展,需要解决的不仅仅是这些问题。
传统的建议是只修复严重和高度严重的漏洞。然而,根据Qualys公司发布的调查数据,51%的漏洞符合这些标准,这意味着企业每个月需要修复1428个漏洞。
这是一个坏消息。好消息是,大约有12000个漏洞存在利用代码,其中大约9400个足够可靠,有证据表明有人正在使用它们。企业可以使用漏洞情报来了解正在使用哪些利用代码以及它们的有效性。将漏洞扫描与高质量情报馈送相关联是发现哪些漏洞值得长期关注,哪些漏洞只是昙花一现的关键。
(4)自动化重复的漏洞管理任务以实现规模化
收集KPI或其他指标、分配票据和跟踪误报证据通常都是重复而无趣的工作,尽管如此,安全分析师仍将其50%至75%的工作时间用于完成这些工作。值得庆幸的是,这些任务是算法可以协助甚至完全自动化完成的。
然而,协作并不能实现自动化。因此,将漏洞管理任务分为两类,以便更好地利用每个人的时间。将重复和单调的任务实现自动化,企业的分析人员可以处理只有人类才能完成的复杂的工作。这不仅能提高工作效率,还能提高工作满意度。
(5)跨团队提供优先级的漏洞补救
漏洞管理是信息安全中最困难的实践之一。每一个安全实践都对自己的结果有一定的控制;他们执行一个动作,动作会产生一个结果,他们根据自己动作的结果进行评估。
但是,漏洞管理必须首先影响其他的团队执行某个操作。在那里,操作产生结果,漏洞管理团队成员将根据其他人的操作结果进行评估。在最糟糕的情况下,它会演变成将一个电子表格交给系统管理员,上面标注“修复这个问题”。其结果是随机修复了一些漏洞。
有效的漏洞管理需要更多的精确性。如果企业可以为资产所有者提供一个简短而具体的漏洞列表,这些漏洞需要按照优先级顺序在特定资产上解决,并且还愿意帮助确定针对每个漏洞的最佳修复措施,那么将更有可能获得满意的结果。
几乎所有的风险都存在于仅有5%的已知漏洞中。如果企业能合作解决这些问题,就可以把漏洞管理从一个不可能的梦想转变成一个可以引以为豪的成就。
关于企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个IT行业公众号(微信搜索D1net即可关注)
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号