首席信息安全官仍然會犯的漏洞管理錯誤

責(zé)任編輯:cres

作者:Mary K. Pratt

2022-06-23 13:47:16

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

安全團隊不堪重負,因為他們一直在忙于實現(xiàn)安全的遠程工作和解決其他與新冠疫情相關(guān)的問題,同時還要應(yīng)對人員短缺問題。因此,改進漏洞管理計劃并不總是首要任務(wù)。為了幫助企業(yè)加強安全,一些資深安全負責(zé)人指出了首席信息安全官仍然經(jīng)常會犯的錯誤。

一些常見的失誤和誤解可能使企業(yè)的漏洞管理無法做到最好。
 
多起數(shù)據(jù)泄露事件都可以追溯到未修補的漏洞,其中包括2017年信用報告機構(gòu)Equifax公司的大規(guī)模數(shù)據(jù)泄露事件。Tripwire公司在2019年的一項研究發(fā)現(xiàn),27%的違規(guī)事件是由未修補的漏洞引起的,而Ponemon公司在2018年開展的一項研究表明這一數(shù)字高達60%。
 
這不會讓安全領(lǐng)域的任何人感到驚訝:在過去幾年中,發(fā)現(xiàn)的漏洞數(shù)量每年都在增加。
 
與此同時,安全團隊也不堪重負,因為他們一直在忙于實現(xiàn)安全的遠程工作和解決其他與新冠疫情相關(guān)的問題,同時還要應(yīng)對人員短缺問題。
 
因此,改進漏洞管理計劃并不總是首要任務(wù)。然而,一些資深安全負責(zé)人表示,他們看到了可以而且應(yīng)該解決的常見錯誤和失誤,以加強這些計劃。以下是他們指出的首席信息安全官仍然經(jīng)常會犯的10個錯誤:
 
1.未能獲得企業(yè)高管支持
 
良好的漏洞管理計劃所需的工作遠遠超出了安全團隊的范圍。風(fēng)險決策需要企業(yè)管理層的投入,修補漏洞需要IT專業(yè)知識,計劃的更新停機時間會影響多個業(yè)務(wù)功能。
 
因此,首席信息安全官需要企業(yè)中多個參與者的支持才能很好地完成這項任務(wù),托管服務(wù)提供商Thrive公司首席技術(shù)官Michael Gray表示,當首席信息安全官得到企業(yè)高層領(lǐng)導(dǎo)的支持時,他們更有可能獲得成功。
 
另一方面,缺乏企業(yè)高管層對其漏洞管理工作的支持的首席信息安全官可能會因?qū)山邮艿娘L(fēng)險缺乏明確性以及IT和業(yè)務(wù)部門對安排修補和系統(tǒng)停機時間的反對而受阻。
 
但也有一些好消息,Gray和其他人表示,隨著網(wǎng)絡(luò)安全已成為企業(yè)董事會的關(guān)注點,首席信息安全官越來越多地發(fā)現(xiàn)他們需要高管的支持。研究機構(gòu)Gartner公司的數(shù)據(jù)證實了這一趨勢,該公司在2021年的調(diào)查發(fā)現(xiàn),88%的企業(yè)董事會現(xiàn)在將網(wǎng)絡(luò)安全視為一種業(yè)務(wù)風(fēng)險。
 
2.沒有培養(yǎng)共同的責(zé)任感
 
Under Armour公司首席信息安全官Alex Attumalil說,“首席信息安全官不應(yīng)全部承擔漏洞管理的責(zé)任或風(fēng)險。”
 
首席信息安全官并不擁有他們支持的系統(tǒng)或業(yè)務(wù)功能,也無權(quán)單獨確定企業(yè)是否愿意接受任何特定風(fēng)險。
 
他說,“我們不能完全代表企業(yè)接受風(fēng)險。這需要與其他企業(yè)領(lǐng)導(dǎo)者溝通風(fēng)險,根據(jù)業(yè)務(wù)風(fēng)險制定漏洞管理框架,并讓他們成為解決方案的一部分。他們需要知道自己應(yīng)該對系統(tǒng)引入的漏洞負責(zé)。”
 
Attumalil表示,這種方法讓首席信息安全官以外的企業(yè)高管參與其中,這一舉措在漏洞管理工作(例如安排系統(tǒng)停機時間進行修補)方面建立了更多支持和協(xié)作。
 
3.使用通用風(fēng)險優(yōu)先級
 
Pulse公司最近為安全供應(yīng)商Vulcan Cyber??公司進行的一項研究表明,在200多名做出響應(yīng)的企業(yè)IT和安全主管中,絕大多數(shù)都沒有根據(jù)其企業(yè)自身獨特的風(fēng)險狀況對漏洞進行優(yōu)先級排序。更具體地說,該研究表明,86%的受訪者表示將依賴第三方漏洞嚴重性數(shù)據(jù)來確定漏洞的優(yōu)先級,70%的人還使用第三方威脅情報。
 
資深安全領(lǐng)導(dǎo)人警告不要采用這種方法,稱這可能會讓首席信息安全官及其團隊將有限的資源集中在錯誤的威脅上。
 
KLC咨詢公司為美國國防承包商提供網(wǎng)絡(luò)安全建議和vCISO服務(wù),其總裁兼首席信息安全官Kyle Lai建議采用不同的方法。他表示,首席信息安全官及其團隊必須了解企業(yè)自身的技術(shù)環(huán)境,并擁有最新的資產(chǎn)清單,他們必須了解企業(yè)的風(fēng)險偏好和風(fēng)險承受能力,以便他們能夠識別對自己企業(yè)的最大威脅,并優(yōu)先消除這些威脅。
 
他說,“他們應(yīng)該了解特定威脅可能產(chǎn)生的影響有多大,應(yīng)該知道哪些威脅更嚴重。并且根據(jù)對自己所在企業(yè)的影響來確定優(yōu)先順序。”
 
4.忽略安全培訓(xùn)
 
Lexmark International公司首席信息安全官Bryan Willett認識到,修補Linux系統(tǒng)所需的技能與修補Windows所需的技能不同,而這些技能也不同于在其漏洞管理程序中執(zhí)行其他任務(wù)所需的技能。
 
此外,他的安全工作人員對漏洞管理所需的知識與IT工作人員在實際系統(tǒng)中進行修補所需的知識不同。
 
他說,“所以我希望這些團隊接受必要的培訓(xùn),以承擔起他們的責(zé)任。”
 
但安全領(lǐng)導(dǎo)者表示,并非所有企業(yè)都致力于提供員工所需的持續(xù)安全教育,以提供世界一流的安全性,更具體地說是強大的漏洞管理功能。專家表示,企業(yè)有時會低估漏洞管理任務(wù)所需的專業(yè)化程度,或者他們忽略了對員工進行自身企業(yè)內(nèi)使用的特定系統(tǒng)或工具進行培訓(xùn)的必要性。
 
Willett補充說,“每個人都需要記住的是,員工想要做正確的事情,但我們必須對他們進行投資,讓他們能夠做正確的事情。”
 
5.未能跟蹤代碼
 
Linux基金會的研究表明,越來越多的企業(yè)正在使用軟件材料清單(SBOM)來更好地理解他們系統(tǒng)中的所有代碼。更具體地說,該報告表明,47%的企業(yè)正在生產(chǎn)或使用軟件材料清單(SBOM),78%的企業(yè)預(yù)計將在2022年生產(chǎn)或使用軟件材料清單(SBOM)(高于2021年的66%)。
 
盡管這些數(shù)字顯示軟件材料清單(SBOM)的使用有所增加,但它們?nèi)匀槐砻髟S多企業(yè)可能無法了解其IT環(huán)境中的所有代碼。Lai表示,缺乏可見性限制了他們了解自己是否存在需要解決的漏洞的能力。
 
他說,“你必須知道有什么代碼和什么開源組件,所以當像Log4J這樣的漏洞出現(xiàn)時,就知道它存在的所有地方。”
 
6.推遲升級
 
專業(yè)服務(wù)商普華永道公司網(wǎng)絡(luò)與隱私創(chuàng)新研究所負責(zé)人Joe Nocera表示,盡管漏洞管理是一項永無止境的任務(wù),但可以通過解決技術(shù)債務(wù)將其納入更有效的計劃中。
 
正如Nocera解釋的那樣:“越能淘汰舊版本或在標準堆棧上整合,就越不需要管理漏洞。這就是我認為簡化和整合是可以獲得的最佳力量倍增器的原因。”
 
Nocera承認,淘汰遺留系統(tǒng)和解決技術(shù)債務(wù)當然不會消除漏洞。但是擺脫遺留系統(tǒng)確實會消除一些工作,它可以讓企業(yè)擺脫不再能夠打補丁的系統(tǒng),從而降低風(fēng)險。
 
他說,通過解決這些問題,安全團隊及其IT同行可以將重點轉(zhuǎn)移到解決剩余的優(yōu)先事項上,從而使該計劃更加有效和有影響力。
 
盡管這種方法有諸多好處,但許多企業(yè)并沒有將其作為優(yōu)先事項:遠程監(jiān)控和管理云平臺制造商Action1公司發(fā)布的2022年端點管理和安全趨勢報告發(fā)現(xiàn),只有34%的受訪者計劃專注于消除他們已采用云計算替代品取代的風(fēng)險遺留軟件。
 
7.忽略有關(guān)新興威脅的新聞
 
關(guān)于新漏洞或新出現(xiàn)威脅的最初警告通常來自缺乏大量細節(jié)的簡短公告。盡管這些早期報告附帶的信息有限,但安全團隊不應(yīng)該忽視它們的重要性。Lai表示,事實上,跟蹤來自各種安全來源的新聞和頭條以了解即將發(fā)生的事情至關(guān)重要。
 
他說,“你想關(guān)注即將發(fā)生的事情。他們可能不會提供任何細節(jié),但這種類型的情報可以幫助企業(yè)更好地做好準備,可以開始工作或做好計劃。”
 
8.應(yīng)對每個新的威脅
 
另一方面,F(xiàn)orrester Research公司高級分析師Erik Nost警告首席信息安全官,不要在沒有首先評估突發(fā)新聞是否會影響到他們自己的企業(yè),以及影響到多大程度的情況下對突發(fā)新聞做出反應(yīng)。
 
他說,“許多首席信息安全官仍在學(xué)習(xí)如何處理零日漏洞以及成為新聞頭條的漏洞,這些漏洞的出現(xiàn)頻率越來越高。梳理一些聳人聽聞的新聞,以及哪些漏洞對他們的企業(yè)構(gòu)成實際威脅是一項挑戰(zhàn),但要求團隊修復(fù)他們收件箱或首席執(zhí)行官在新聞頭條中看到的所有內(nèi)容并不是正確的方法。”
 
Nost指出,康奈爾大學(xué)最近的一項分析表明,高級持續(xù)性威脅(APT)比零日漏洞更有可能利用已知漏洞。因此,Nost說,“首席信息安全官還應(yīng)該考慮威脅行為者,并考慮高級持續(xù)性威脅(APT)是否可能針對他們的企業(yè)進行攻擊。”
 
他說,安全團隊應(yīng)該將主動攻擊視為更好的優(yōu)先考慮因素,而不是媒體談?wù)摰膬?nèi)容。
 
Nost補充說,“團隊的時間緊迫。如果他們試圖修補出現(xiàn)在Twitter上的每個漏洞,那么他們就沒有根據(jù)他們可接受的風(fēng)險偏好積極評估特定于他們企業(yè)的風(fēng)險,并修復(fù)作為最大威脅的漏洞。如果存在成為新聞頭條的零日漏洞或漏洞,可能仍需要采取行動,因此其團隊應(yīng)該制定有關(guān)如何評估威脅的程序。只需記住遵守既定的行動手冊、風(fēng)險偏好和威脅分析程序。”
 
9.依賴過時的信息
 
Gartner公司的調(diào)查顯示,大多數(shù)董事會成員現(xiàn)在將網(wǎng)絡(luò)安全視為一種風(fēng)險,而且還發(fā)現(xiàn)大多數(shù)(57%)董事會成員在2021~2022年期間增加或預(yù)計增加風(fēng)險偏好。與此同時,每年新發(fā)現(xiàn)的漏洞數(shù)量繼續(xù)增長。傳統(tǒng)企業(yè)的IT環(huán)境也在不斷發(fā)展。
 
專家表示,這些要點表明,首席信息安全官需要制定流程,重新審視和審查其計算方法,以確定漏洞緩解和補救的優(yōu)先級。
 
Gray說,“很多時候,企業(yè)并不擅長管理漏洞的生命周期,而漏洞數(shù)量一直在增長,并且不斷變化,這是需要不斷關(guān)注的事情。”
 
10.沒有將安全嵌入到開發(fā)過程中
 
Nocera表示,將安全和安全設(shè)計原則嵌入到開發(fā)過程中的企業(yè)并不多,這導(dǎo)致首席信息安全官和首席信官錯失了為他們的企業(yè)共同構(gòu)建更強大的漏洞管理計劃的機會。
 
Nocera說,將安全性更早地引入開發(fā)過程(或“左移”),可以讓首席信息安全官在代碼投入生產(chǎn)之前提前解決安全問題,所以不會在環(huán)境中引入已知的漏洞。
 
Nocera說,左移不一定會減少漏洞管理工作的數(shù)量,但就像消除遺留系統(tǒng)和技術(shù)債務(wù)一樣,它確實可以釋放資源,以便團隊可以優(yōu)化他們的漏洞管理工作。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號