漏洞管理面臨的三個(gè)核心問(wèn)題
未能有效管理網(wǎng)絡(luò)漏洞的后果從未如此嚴(yán)重。一次數(shù)據(jù)泄露可能導(dǎo)致嚴(yán)重的聲譽(yù)和財(cái)務(wù)損失,而且泄露的數(shù)量每年都在不斷增加,而且沒(méi)有失敗。確實(shí),漏洞管理已經(jīng)不再只是另一種 IT 支出——它應(yīng)該是一個(gè)關(guān)鍵的業(yè)務(wù)目標(biāo)。
疫情給信息安全專(zhuān)業(yè)人員帶來(lái)了巨大壓力。隨著網(wǎng)絡(luò)安全預(yù)算緊張,數(shù)以百萬(wàn)計(jì)的員工已經(jīng)全職或兼職轉(zhuǎn)向遠(yuǎn)程辦公,現(xiàn)在越來(lái)越復(fù)雜的威脅形勢(shì)對(duì)未來(lái)提出了更加可怕的挑戰(zhàn)。
組織在漏洞管理方面哪里出了問(wèn)題?
從一開(kāi)始,太多組織對(duì)漏洞管理的含義就已經(jīng)過(guò)時(shí)了。不僅僅是掃描您的網(wǎng)絡(luò)是否存在威脅。
漏洞管理的整體方法包括識(shí)別、報(bào)告、評(píng)估和確定暴露的優(yōu)先級(jí)。至關(guān)重要的是,它還涉及風(fēng)險(xiǎn)背景。漏洞管理的綜合方法不是僅僅掃描安全漏洞,而是向您展示如何利用這些漏洞以及可能發(fā)生的后果。
準(zhǔn)確地說(shuō),漏洞管理——當(dāng)正確執(zhí)行時(shí)——采用全局方法,其中所有方面協(xié)調(diào)工作,以降低關(guān)鍵業(yè)務(wù)資產(chǎn)的風(fēng)險(xiǎn)。這是我們都應(yīng)該為之奮斗的目標(biāo)。
但即使你從正確的首要原則開(kāi)始,在實(shí)施時(shí)你仍然可能失敗。考慮到這一點(diǎn),下面我們重點(diǎn)介紹了組織在管理漏洞時(shí)面臨的三個(gè)最重要的問(wèn)題。
1. 未能正確確定威脅的優(yōu)先級(jí)
無(wú)法正確排列暴露是組織目前在漏洞管理環(huán)境中面臨的最具破壞性的問(wèn)題之一。太多組織通過(guò)掃描識(shí)別安全漏洞,然后直接進(jìn)入修復(fù)階段。在某種程度上,這種緊迫性是可以理解的。然而,歸根結(jié)底,它是短視的,會(huì)帶來(lái)更大的風(fēng)險(xiǎn)。
聰明的組織將大量注意力集中在漏洞管理的優(yōu)先級(jí)和報(bào)告階段。未能有效地確定優(yōu)先級(jí)可能會(huì)導(dǎo)致時(shí)間和資源的浪費(fèi),因?yàn)閳F(tuán)隊(duì)競(jìng)相解決對(duì)業(yè)務(wù)關(guān)鍵資產(chǎn)沒(méi)有真正風(fēng)險(xiǎn)。
更糟糕的是,它使組織以最糟糕的方式變得脆弱。一個(gè)更好的方法是專(zhuān)注于可以利用的風(fēng)險(xiǎn)敞口的百分之一。如果操作正確,這種優(yōu)先級(jí)排序可以消除對(duì)業(yè)務(wù)敏感的系統(tǒng) 99% 的風(fēng)險(xiǎn)。
從這種優(yōu)先排序方法中受益的最佳方式是什么?使用尖端的攻擊補(bǔ)丁管理解決方案,使用以攻擊為中心的關(guān)鍵風(fēng)險(xiǎn)對(duì)暴露進(jìn)行優(yōu)先級(jí)排序。該工具超越了有限的 CVSS 評(píng)分并顯示了全貌:每個(gè)漏洞被利用的可能性以及每個(gè)漏洞對(duì)您的“皇冠上的寶石”資產(chǎn)構(gòu)成的風(fēng)險(xiǎn)。
2. 不使用連續(xù)方法
有效的漏洞管理計(jì)劃是持續(xù)的,而不是偶發(fā)的。如果企業(yè)不采取持續(xù)的方法,他們將難以控制漏洞的流動(dòng)并積累“漏洞債務(wù)”。這是一個(gè)嚴(yán)重的問(wèn)題。
鑒于掌握新出現(xiàn)的漏洞已經(jīng)很困難,處理不斷積壓的安全問(wèn)題可能會(huì)使整個(gè)情況站不住腳。使用以連續(xù)和自動(dòng)化漏洞識(shí)別為中心的持續(xù)方法,而不是不定期的掃描和修復(fù)。這是開(kāi)發(fā)由持續(xù)改進(jìn)定義的安全態(tài)勢(shì)的關(guān)鍵之一。
3. 溝通不暢,組織架構(gòu)不清晰
當(dāng)安全團(tuán)隊(duì)沒(méi)有明確的溝通渠道和正確的組織結(jié)構(gòu)時(shí),幾乎肯定會(huì)出現(xiàn)問(wèn)題。團(tuán)隊(duì)成員經(jīng)常沒(méi)有明確的角色,他們不了解自己在整體漏洞管理框架中的位置,尤其是在職責(zé)方面。
當(dāng)團(tuán)隊(duì)成員有明確的角色定義和明確的職責(zé)時(shí),他們可以有效地工作和協(xié)作。每個(gè)人都可以努力履行自己的職責(zé)并實(shí)現(xiàn)他們的特定目標(biāo),而不是孤立地工作和錯(cuò)過(guò)更大的圖景——同時(shí)了解他們的工作如何與他人的角色和責(zé)任相關(guān)聯(lián)。
這種溝通需求也延伸到了最高管理層。鑒于強(qiáng)大的網(wǎng)絡(luò)安全已成為一項(xiàng)重要的戰(zhàn)略目標(biāo),公司領(lǐng)導(dǎo)層了解該計(jì)劃并對(duì)其進(jìn)行投資非常重要。
主要漏洞管理問(wèn)題
未能有效管理網(wǎng)絡(luò)漏洞的后果從未如此嚴(yán)重。一次數(shù)據(jù)泄露可能導(dǎo)致嚴(yán)重的聲譽(yù)和財(cái)務(wù)損失,而且泄露的數(shù)量每年都在不斷增加,而且沒(méi)有失敗。確實(shí),漏洞管理已經(jīng)不再只是另一種 IT 支出——它應(yīng)該是一個(gè)關(guān)鍵的業(yè)務(wù)目標(biāo)。
為了實(shí)現(xiàn)這一點(diǎn),必須了解漏洞管理應(yīng)該是一個(gè)持續(xù)的、多階段的過(guò)程。解決困擾如此多原本聰明的 IT 部門(mén)的問(wèn)題也很重要:優(yōu)先級(jí)不高、管理漏洞的方法不定期以及團(tuán)隊(duì)和領(lǐng)導(dǎo)者之間缺乏組織和溝通。
就避免這些陷阱而言,正確的方法可以帶來(lái)巨大的收益。如上所述,您能做的最好的事情是結(jié)合強(qiáng)大的漏洞管理工具,提供適當(dāng)?shù)膬?yōu)先級(jí)指導(dǎo)和關(guān)鍵風(fēng)險(xiǎn)上下文。
一旦您的基本戰(zhàn)略是合理的并且您配備了正確的工具,您的企業(yè)在保護(hù)您最寶貴的資產(chǎn)方面將遠(yuǎn)遠(yuǎn)領(lǐng)先于大多數(shù)競(jìng)爭(zhēng)對(duì)手。
