漏洞管理 (VM) 似乎無處不在，你隨便抓住一個企業(yè) IT 人士詢問是否實施了漏洞管理，絕大多數人都會給你肯定的答復。

[[312263]]

聽上去是似乎大家的 IT 系統(tǒng)都已經千針萬線，嚴絲合縫，連一只蒼蠅都飛不進去，但實際上呢?一下雨就是鍋碗瓢盆交響樂。

事實上，所謂的漏洞管理存在著各種各樣的實現方式，從定期的滲透測試到全面的企業(yè)漏洞管理，任何一個疏漏都可能滿盤皆輸。人們常掛在嘴邊的脆弱性風險問題，幾乎從未得到真正解決。在安全牛對國內 200 位 CSO 讀者的調查中，有 26% 的受訪者表示由于未及時修補漏洞而蒙受了安全損失。

正是由于企業(yè)漏洞管理水平無法趕上不斷增長的漏洞威脅，漏洞管理市場近年來正在穩(wěn)步增長，大量企業(yè)都準備或者已經在升級或替換現有工具。

但是對于企業(yè) CSO 和 CIO 來說，在投資或者選擇新的漏洞管理或脆弱性風險管理相關工具產品和方案之前，都首先需要明確一點，你如何判斷漏洞管理項目的有效性?如何成功實施漏洞管理項目?很多時候，漏洞管理不是一個技術問題而是一個管理問題，更準確點說，是一個企業(yè)的 “衛(wèi)生習慣”，以下安全牛總結了七個高效漏洞管理的好習慣：

1、贏得高層支持

高層的態(tài)度對于漏洞管理項目來說意義重大，但是讓高層心悅誠服而不是將信將疑地說 “支持” 其結果有著天壤之別。具體來說，你的項目計劃能贏得領導多大程度的支持，很大一部分取決于你的表達能力和項目本身效果的“可視化”程度。如果成敗的價值差異或者嚴重程度不足以打動領導，那么你的預算自然也是可有可無。

2、以資產發(fā)現為基本點

對漏洞管理范圍的任何限制都會增加可見性風險。因此，必須將資產發(fā)現作為任何漏洞管理程序的核心組件。如果漏洞管理項目未能覆蓋某些資產或特定業(yè)務領域，那么它在降低風險方面的效用也會大打折扣，因為您無法消除未知風險。同樣，如果資產發(fā)現不是連續(xù)或者高頻的，也會存在過時或失真風險。

3、高頻掃描

高頻掃描聽上去有點像 “連續(xù)掃描”，給人不妙的感覺。現實情況是，進行高頻率掃描的原因一般兩個：首先是為了配合補救工作，其次是為了捕捉風險畫像中的重要變化(例如，發(fā)現新的高風險漏洞)。

但有一點需要明確，掃描頻率不是越高越好，而應該是合理的。頻率的設定需要與兩個目標關聯在一起：首先，如果你的修復節(jié)奏是每月一次，那么每天掃描也無助于改善結果。但是，如果您的變更管理不夠充分，那么可以考慮通過更頻繁地掃描來降低某些風險。理想的狀態(tài)是掃描頻率與修復節(jié)奏同步，而且在變更時能夠自動執(zhí)行掃描。

4、融入業(yè)務環(huán)境

武無第一，同理漏洞風險也不是極限運動，如果你把布局重點放在一些絕對的風險上，忽略了業(yè)務環(huán)境和需求，那么你反而可能 “抓大放小”，漏掉了正真危險的，業(yè)務桌面上的 “小” 風險。高效漏洞管理的修復工作優(yōu)先級，需要將漏洞放在業(yè)務環(huán)境和系統(tǒng)環(huán)境進行考量。說白了，就是要首先處理具有更高價值和更高業(yè)務風險的資產。

5、例外不是借口

您無法管理自己不知道的風險，通過掃描創(chuàng)建例外會帶來很多未知風險。在環(huán)境中很可能存在無法掃描的設備，它們往往是一些稀疏分布的老舊設備。但這些 “犄角旮旯” 的例外并不能成為例外的理由，一臺靠近窗戶的老掉牙的復印機能有多大風險?只有那些積極主動測繪并完善防護面的企業(yè)才能防患于未然，在漏洞管理方面表現出色。

6、指標化管理

三人成虎的恐慌銷售策略 (FUD) 是網絡安全行業(yè)多年來的標準操作，但是有效的漏洞管理項目可不能建立在 FUD 戰(zhàn)術之上，而是應該基于指標。只有把 “好” 給指標化了，你才能有效評估工作，找出工作的不足之處。

7、漏洞修復重在流程整合

查找和評估漏洞風險的目的并不是出一個漂亮的報告。關鍵是要制定更好的風險緩解決策，關鍵是要采取行動解決問題，交付結果。有效的漏洞管理必須結合有效的補救措施。很遺憾，沒有漏洞評估工具會自動執(zhí)行補救操作。你必須將有效的漏洞管理程序與補救工作流集成在一起，才能有效推動企業(yè)的漏洞管理水平，但難點是企業(yè)內部工作流往往數量眾多，集成存在相當。

你需要首先 “摸底” 再 “撈底”，搞清楚企業(yè)的業(yè)務流程和不同部門的工作方式，然后找出將補救工作整合到流程中的方法。

市場已經有大量的漏洞評估產品，但是有效的漏洞管理卻依然存在很大的改進空間。以上這七個原則，也許不一定能夠讓你 “七步成詩”，但如果能給你的工作帶來一些新的思路和啟發(fā)，也就足矣。