精准漏洞管理的五个关键步骤

过去十年中,随着数字化转型的深入,很多企业快速扩张业务流程,添置了大量技术工具,新系统的运营团队和资产数量都大幅增长。然而,一个怪现象是:企业数字基础设施和业务虽然加速发展,但漏洞管理能力却止步不前。

企业必须认识到,漏洞管理是安全运营的“基本功”和关键任务,而且企业能够处理的漏洞数量远远赶不上漏洞增长的速度。因此,如果没有精准高效的漏洞管理能力,企业的安全债和风险将像滚雪球般越来越大。

那么,如何提高漏洞管理的精度,优先关注最重要的漏洞呢?以下是每个企业都应关注的五个关键步骤:

将资产和漏洞集中在单个库存中

做好漏洞管理的前提是摸清企业的资产。互联网安全中心(CIS)将“企业资产的清单和控制”列为网络防御措施中的第一个关键安全控制,是因为企业只有先搞清楚自己拥有哪些资产,才能开始讨论如何做好漏洞管理。

要全面了解情况,漏洞管理者需要整合现有的资产和漏洞数据,这些数据来自资产管理工具、CMDB、网络扫描程序、应用程序扫描器和云工具。为了避免无用功,需要对数据资产进行去重和关联,确保每个资产只存在一个实例。这项工作同时也是了解整个企业的漏洞风险的关键。

识别“皇冠上的明珠”:关键业务资产

并非企业IT环境中的所有资产都同等重要。没有生产数据的测试系统的高危漏洞远不如生产系统上的相同漏洞重要。因此,第二个关键措施是开始编制关键业务资产清单。

关键业务资产清单对事件响应团队也很有价值。因此如果你手里没有清单,没准你的事件响应团队能够提供。

利用威胁情报丰富漏洞数据

2022年每个月平均披露2800个新漏洞。这意味着,为了确保漏洞不会进一步积压,企业必须每月至少修复2800个漏洞。

常规的建议是只修复高危和严重漏洞。但是,根据Qualys的说法,有51%的漏洞属于高危漏洞。这意味着企业每月仍需要修复至少1428个漏洞,依然是个不小的挑战。

好消息是,虽然1.2万个漏洞存在利用代码,但其中只有大约9400个漏洞有野外利用的可靠证据。安全团队可以通过漏洞情报源来了解对手正在使用哪些漏洞利用代码,以及它们的有效性。将漏洞扫描与高质量的情报源关联,有助于安全团队了解哪些漏洞需要长期关注,哪些漏洞只是昙花一现,不需要花费精力。

自动化重复性漏洞管理任务

收集KPI安全指标、分配工单和跟踪误报证据都是一些重复、乏味的工作,但是安全分析师们仍然需要花费50%到75%的工作时间来执行这些任务。值得庆幸的是,此类任务都是可以自动化的。

无法自动化的是人与人的协作。因此,建议将漏洞管理任务分为两类(可自动化的和不可自动化的),以更好地利用每个人的时间。通过自动执行重复和单调的任务,安全分析师可以有更多时间处理只有人类才能完成的复杂工作。这不仅能提高生产力,还会提高工作满意度和效率。

跨团队提供优先漏洞修复

漏洞管理是网络安全领域最基本也是最困难的工作之一。所有其他安全工作都属于可控过程:执行一个动作,产生一个结果,然后根据结果进行评估。

而漏洞管理则首先需要影响另一个团队来执行操作。漏洞管理团队需要根据其他人的操作结果进行评估。在最糟糕的情况下,这项工作的画风是这样的:漏洞管理团队将电子表格交给系统管理员,上面写着“修复此问题”,然后管理员“随缘”修复了一些漏洞。

高效漏洞管理需要比这更精确的信息。值得推荐的做法是,向资产所有者提供按优先级排序的特定资产的漏洞列表,同时还主动提供帮助确定每个漏洞的最佳修复操作,这将大大提高漏洞管理的绩效。

企业如今面临的网络安全风险绝大多数都来自5%的已知漏洞。如果安全团队能与其他团队高效合作,精准修复这5%的漏洞,就可以把漏洞管理从安全运营的短板变成长处。

前一篇GitHub大数据:10%的程序员泄密
后一篇硅谷银行倒闭,网络犯罪乘火打劫