<noframes id="9dpjh">

    <sub id="9dpjh"><listing id="9dpjh"></listing></sub>
    <noframes id="9dpjh">

        <address id="9dpjh"><listing id="9dpjh"></listing></address>

        機房360首頁
        當前位置:首頁 ? 網絡安全 ? 可見、可用、可考量——企業高效漏洞管理的目標與實現

        可見、可用、可考量——企業高效漏洞管理的目標與實現

        來源:51CTO 作者: 更新時間:2022/5/19 10:16:13

        摘要:網絡安全培訓和認證機構SANS研究所進行的一項調查發現,超過39%的受訪企業在面對網絡漏洞風險時,要么只有非正式的處理手段,要么根本沒有任何計劃。

          隨著企業數字化的深入推進,今天的企業組織已經普遍認知到解決IT環境中漏洞威脅的重要性,但許多企業仍然缺乏科學有效的漏洞管理計劃與能力。網絡安全培訓和認證機構SANS研究所進行的一項調查發現,超過39%的受訪企業在面對網絡漏洞風險時,要么只有非正式的處理手段,要么根本沒有任何計劃。

          今年初,美國聯邦貿易委員會(FTC)就解決Log4j問題向商業界發出正式通告,并警告稱:相關企業需要立刻采取措施應對,如不能及時采取漏洞修補措施,而造成個人信息的丟失或泄露、財務損失和其他不可逆轉的傷害時,企業及責任人將會受到相關法律的問責和訴訟,包括《聯邦貿易委員會法》和《格雷姆·里奇·比利雷法案》(Gramm Leach Bliley Act)等。

          在我國,由公安部、工業和信息化部、國家互聯網信息辦公室聯合制定的《網絡產品安全漏洞管理規定》已于去年9月正式實施,《規定》中明確要求,網絡產品提供者和網絡運營者是自身產品和系統漏洞的責任主體,要提高相關主體的漏洞管理水平,建立暢通的漏洞信息接收渠道,及時對漏洞進行驗證并完成漏洞修補,防范網絡安全重大風險事件發生。

          在網絡世界中,安全漏洞將會長期存在,所謂的安全性不僅是指“安全”或“不安全”,而是還取決于企業發現漏洞并進行響應的速度,只有通過科學的手段實現高效漏洞管理,網絡系統才會變得更加安全與健壯。

          企業漏洞管理能力演進

          大量數據和案例表明,雖然漏洞評估和管理工具不斷豐富,但是企業的漏洞管理計劃與工作依然有很多可改進的地方,例如,人才資金匱乏、缺乏對漏洞風險的預測感知能力、企業信息化孤島和部門協同、漏洞修復效率低下等。與此同時,漏洞風險正隨著攻擊技術的快速提升而增加。

          對于企業安全團隊,可以通過一套漏洞管理成熟度模型來衡量企業組織目前的漏洞管理水平,漏洞管理成熟度模型主要包括如下5個階段:

          漏洞管理成熟度模型示意圖

          1. 初始階段

          處在這一階段的公司企業要么沒有任何漏洞管理措施,要么只做臨時性的測試。

          2. 已管理階段

          處于這個階段的企業可以自發在內部開展漏洞掃描工作,每周或者每月固定開展,但是往往是為了應對外部監管。

          3. 已定義階段

          該階段的漏洞管理工作為公司所理解,也受到公司管理層的一定支持,漏洞掃描更為頻繁,但是專業工具應用還比較有限。

          4. 量化管理階段

          處在這一階段的公司企業有可量化、可度量的指標,定義可接受的風險水平。

          5. 優化管理階段

          在這一階段,使用第四階段定義的度量指標用實現管理提升和優化,所有的優化指標都用于減少組織的受攻擊面。

          高效漏洞管理的12個步驟

          對于企業 CSO 和 CIO 來說,在投資或者選擇新的漏洞管理或脆弱性風險管理相關工具產品和方案之前,都首先需要明確一點,你如何判斷漏洞管理項目的有效性?如何成功實施漏洞管理項目?很多時候,漏洞管理不僅僅是一個技術問題而是企業綜合管理問題,它應該是程序化的,包含計劃、行動、協同、問責和持續改進。以下梳理總結了企業開展高效漏洞管理的12個步驟與建議:

          1. 組建可信賴的專業安全團隊

          開展有效的漏洞管理涉及多個方面,從定期的滲透測試到全面的企業漏洞管理,任何一個疏漏都可能導致危害發生。因此,需要一個專業、可靠的安全團隊來進行保障。在這個安全團隊中,除了要配置負責漏洞管理及修補的安全分析師,還要涵蓋其他業務利益相關者,例如數字化業務部門的員工,他們可以說明在對業務系統進行處置時,企業組織可能面臨的影響,這樣團隊可以更好地制定并實施漏洞管理工作計劃。

          2. 以全面的資產發現為基礎

          對于企業組織的安全團隊而言,掌握最新的IT資產清單是開展有效漏洞管理計劃的基礎要求,這已經成為共識,但實踐起來卻非常困難。尤其是在當今的企業環境中,物理設備、遠程終端、物聯網組件、云服務、軟件即服務(SaaS)和開源代碼組件等大量系統和應用充斥其中,想要獲取一份全面并能及時更新的資產清單非常困難。雖然實踐難度大,但這一切都是必須考慮并實現的。

          3. 提升網絡可見性

          有了全面的資產清單,下一步行動就是要通過了解企業IT環境的互連性、數據流動和集成環境來大力追求網絡的可見性。對漏洞管理范圍的任何限制都會增加可見性風險。因此,必須將資產發現作為任何漏洞管理程序的核心組件。如果漏洞管理項目未能覆蓋某些資產或特定業務領域,那么它在降低風險方面的效用也會大打折扣,因為相比已知威脅,防范未知風險的挑戰會更大。同樣,如果資產發現不是連續或者高頻的,也會存在過時或失真風險。

          4. 更積極地掃描漏洞

          研究機構Veracode調查顯示,掃描頻率較高的企業在補救漏洞方面往往要快得多,每天進行漏洞掃描所需的漏洞修補平均時間僅為19天,而每月掃描一次或更少的企業組織則為68天。但有一點需要明確,掃描頻率不是越高越好,而應該是合理的。理想的狀態是掃描頻率與修復節奏同步,而且在變更時能夠自動執行掃描。同時,為了取得更好的掃描效果,企業除了運行更常用的基于代理的軟件和網絡掃描程序外,還應該包括憑據掃描、弱配置掃描和缺失補丁搜索等。

          5. 完善漏洞管理工作流程

          查找和評估漏洞風險的目的并不是出一個漂亮的報告。關鍵是要制定更好的風險緩解決策,關鍵是要采取行動解決問題,交付結果。企業必須將有效的漏洞管理程序與補救工作流集成在一起,才能有效推動企業的漏洞管理水平,但難點是企業內部工作流往往數量眾多,集成存在相當。成熟、完善的漏洞管理計劃需要具備有記錄且深思熟慮的工作流程。此外,為了更好的協同工作,企業還應該制定一個通用的操作圖,為所有從事漏洞管理的團隊成員提供相同的數據和情報信息。

          6. 建立并跟蹤關鍵效果指標

          想要驗證漏洞管理控制措施的有效性和執行情況,最好的方式就是有指標來衡量目前的漏洞管理工作成效。企業可以使用目前常用的關鍵績效指標,例如及時修復的關鍵漏洞百分比和未及時修復的關鍵漏洞百分比來衡量當前狀態并跟蹤一段時間內的改進情況,其他可用的KPI指標還包括庫存資產百分比、檢測時間、平均修復時間、漏洞導致的事件數量以及漏洞重啟率等考核參數。

          7. 行業安全基準分析

          跟蹤KPI可以掌握自身企業的漏洞管理計劃是否隨著時間的推移而改進,但還需要衡量行業中其他公司的管理水平與能力?;鶞驶治龇?Benchmarking)可以幫助企業比較自身與同行和競爭對手的漏洞管理表現,它還可以向公司管理層證實目前的漏洞管理計劃是有效的。它甚至可以作為公司業務在市場競爭中的差異化因素,幫助企業提升業務收入的增長。

          8. 利用合法的第三方測試服務

          目前,很多公司已經將漏洞賞金計劃視為管理漏洞的重要組成部分,利用道德黑客可以從另一個視角幫助企業發現安全漏洞問題,這確實是解決問題的一種有效方法。而對于規模較小或專業能力有限的組織來說,也可以建立一個內部漏洞賞金計劃以獎勵發現漏洞的所有內部員工,或者與提供此類服務的外部各方或網絡安全公司合作,以充分利用更多的專業知識。

          9. 合理設定期望并實時調整

          常見漏洞和暴露(CVE)列表中公開披露的計算機安全漏洞數量正在持續增長,鑒于漏洞數量如此龐大,研究機構建議企業組織應該提前明確優先事項,并將漏洞管理計劃重點放在他們實際計劃解決的漏洞上。如果一個組織只計劃解決評級高的漏洞,為什么還要掃描低風險的漏洞呢?但是,漏洞管理計劃不能忽略公司數字業務環境的特點和需求,不能因為 “抓大放小”而漏掉導致業務損失的 “小” 風險。高效漏洞管理的修復工作優先級,需要將漏洞放在業務環境和系統環境進行考量。

          10. 得到公司管理層的支持與認可

          企業安全團隊早就知道解決IT環境中的漏洞有多么重要,而鑒于漏洞引發的安全事件及其危害性不斷增加,很多企業的管理層也逐漸意識到了這項任務的重要性。公司管理層的態度對于漏洞管理項目來說意義重大,要讓高層心悅誠服而不是將信將疑地口頭表示 “支持”。具體來說,企業的項目計劃能贏得領導多大程度的支持,很大一部分取決于漏洞管理項目本身效果的“可視化”程度。如果成敗的價值差異或者嚴重程度不足以打動領導,那么漏洞安全管理的預算與實施自然也是可有可無。

          11. 明確漏洞管理工作的責任人

          要擁有高效的漏洞管理計劃,組織必須制定明確的工作負責人,否則一旦出現問題,團隊中的每個人都會互相推諉。頭洞管理負責人不一能是CISO,因為他們通常沒有足夠時間跟蹤KPI和管理團隊。大型企業通常有足夠的漏洞管理工作來設置一個全職的漏洞管理負責人角色,但中小型公司也應將這種工作職責明確賦予到一個具體的責任人。

          12. 將激勵措施與計劃改進、效果相結合

          除了為計劃分配責任外,組織還應該建立激勵措施,例如與改進KPI相關的獎金。而且,不僅要激勵負責漏洞修補的團隊,還要激勵整個組織的利益相關者。這些激勵措施可以以額外補償、獎金、休假或其他被認可的形式進行。

          責任編輯:張華

        機房360微信公眾號訂閱
        掃一掃,訂閱更多數據中心資訊

        本文地址:http://www.maurospasta.com/news/2022519/n8758145971.html 網友評論: 閱讀次數:
        版權聲明:凡本站原創文章,未經授權,禁止轉載,否則追究法律責任。
        轉載聲明:凡注明來源的文章其內容和圖片均為網上轉載,非商業用途,如有侵權請告知,會刪除。
        相關評論
        正在加載評論列表...
        評論表單加載中...
        • 我要分享
        推薦圖片
        小婕子的第一次好紧第三节

        <noframes id="9dpjh">

          <sub id="9dpjh"><listing id="9dpjh"></listing></sub>
          <noframes id="9dpjh">

              <address id="9dpjh"><listing id="9dpjh"></listing></address>