企業(yè)必須認(rèn)識到,漏洞管理不再僅僅是一個“掌控一切”的問題。每天進(jìn)入系統(tǒng)的新漏洞的數(shù)量將永遠(yuǎn)大于企業(yè)采用實際方法修復(fù)的數(shù)量。
那么,如何提高漏洞管理的有效性,從而開始專注于最重要的漏洞呢?以下是企業(yè)有效地進(jìn)行漏洞管理的5個步驟:
(1)將資產(chǎn)和漏洞集中在一個清單中
在企業(yè)能夠很好地進(jìn)行漏洞管理之前,需要更清楚地了解自己的資產(chǎn)。美國網(wǎng)絡(luò)安全中心(CIS)將“企業(yè)資產(chǎn)的庫存和控制”列為其推薦的網(wǎng)絡(luò)防御行動中最重要的安全控制措施。這是因為企業(yè)在開始進(jìn)行漏洞管理之前需要對其資產(chǎn)有著清晰的了解。
為了獲得完整的信息,企業(yè)需要整合現(xiàn)有的資產(chǎn)和漏洞數(shù)據(jù),這些數(shù)據(jù)來自資產(chǎn)管理工具、配置管理數(shù)據(jù)庫(CMDB)、網(wǎng)絡(luò)掃描器、應(yīng)用程序掃描器和云計算工具。為了避免麻煩,不要忘記對這些數(shù)據(jù)進(jìn)行重復(fù)數(shù)據(jù)消除和關(guān)聯(lián),以便每個資產(chǎn)只存在一個實例。這項工作對于了解企業(yè)的脆弱性風(fēng)險至關(guān)重要。
(2)確定關(guān)鍵業(yè)務(wù)資產(chǎn)
在企業(yè)的運營環(huán)境中,并不是所有的計算機系統(tǒng)都同樣重要。沒有生產(chǎn)數(shù)據(jù)的測試系統(tǒng)上的關(guān)鍵漏洞遠(yuǎn)遠(yuǎn)沒有企業(yè)工資單系統(tǒng)上的相同漏洞重要。所以,如果企業(yè)沒有制定關(guān)鍵業(yè)務(wù)資產(chǎn)清單,現(xiàn)在是開始編制的好時機。
企業(yè)的事件響應(yīng)團(tuán)隊也對其關(guān)鍵業(yè)務(wù)資產(chǎn)非常感興趣。如果企業(yè)沒有名單,他們可能會有。此外,如果企業(yè)的努力使在業(yè)務(wù)資產(chǎn)上可利用的漏洞更少,那么對這些業(yè)務(wù)關(guān)鍵型資產(chǎn)具有不利影響的安全事件就會越來越少。
(3)利用威脅情報豐富漏洞數(shù)據(jù)
2022年,全球平均每個月披露2800個新漏洞,這意味著,為了確保漏洞數(shù)量不會增加,企業(yè)必須每月修復(fù)2800個漏洞。如果想取得進(jìn)展,需要解決的不僅僅是這些問題。
傳統(tǒng)的建議是只修復(fù)嚴(yán)重和高度嚴(yán)重的漏洞。然而,根據(jù)Qualys公司發(fā)布的調(diào)查數(shù)據(jù),51%的漏洞符合這些標(biāo)準(zhǔn),這意味著企業(yè)每個月需要修復(fù)1428個漏洞。
這是一個壞消息。好消息是,大約有12000個漏洞存在利用代碼,其中大約9400個足夠可靠,有證據(jù)表明有人正在使用它們。企業(yè)可以使用漏洞情報來了解正在使用哪些利用代碼以及它們的有效性。將漏洞掃描與高質(zhì)量情報饋送相關(guān)聯(lián)是發(fā)現(xiàn)哪些漏洞值得長期關(guān)注,哪些漏洞只是曇花一現(xiàn)的關(guān)鍵。
(4)自動化重復(fù)的漏洞管理任務(wù)以實現(xiàn)規(guī)?;?/strong>
收集KPI或其他指標(biāo)、分配票據(jù)和跟蹤誤報證據(jù)通常都是重復(fù)而無趣的工作,盡管如此,安全分析師仍將其50%至75%的工作時間用于完成這些工作。值得慶幸的是,這些任務(wù)是算法可以協(xié)助甚至完全自動化完成的。
然而,協(xié)作并不能實現(xiàn)自動化。因此,將漏洞管理任務(wù)分為兩類,以便更好地利用每個人的時間。將重復(fù)和單調(diào)的任務(wù)實現(xiàn)自動化,企業(yè)的分析人員可以處理只有人類才能完成的復(fù)雜的工作。這不僅能提高工作效率,還能提高工作滿意度。
(5)跨團(tuán)隊提供優(yōu)先級的漏洞補救
漏洞管理是信息安全中最困難的實踐之一。每一個安全實踐都對自己的結(jié)果有一定的控制;他們執(zhí)行一個動作,動作會產(chǎn)生一個結(jié)果,他們根據(jù)自己動作的結(jié)果進(jìn)行評估。
但是,漏洞管理必須首先影響其他的團(tuán)隊執(zhí)行某個操作。在那里,操作產(chǎn)生結(jié)果,漏洞管理團(tuán)隊成員將根據(jù)其他人的操作結(jié)果進(jìn)行評估。在最糟糕的情況下,它會演變成將一個電子表格交給系統(tǒng)管理員,上面標(biāo)注“修復(fù)這個問題”。其結(jié)果是隨機修復(fù)了一些漏洞。
有效的漏洞管理需要更多的精確性。如果企業(yè)可以為資產(chǎn)所有者提供一個簡短而具體的漏洞列表,這些漏洞需要按照優(yōu)先級順序在特定資產(chǎn)上解決,并且還愿意幫助確定針對每個漏洞的最佳修復(fù)措施,那么將更有可能獲得滿意的結(jié)果。
幾乎所有的風(fēng)險都存在于僅有5%的已知漏洞中。如果企業(yè)能合作解決這些問題,就可以把漏洞管理從一個不可能的夢想轉(zhuǎn)變成一個可以引以為豪的成就。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號