技術解析：漏洞管理為何需要正確的指標？

你的漏洞管理計劃進展如何？有效果？還是已經成功了？坦白講，如果沒有正確的指標及對應的分析方法，你如何知道漏洞管理的效果、進展，甚至其投資回報率呢？

當然，即便你已經采取了一些評估手段，但錯誤的報告或錯誤的指標也可能會造成盲點，使安全團隊向其他業務部門傳達任何風險都變得更加困難。

不僅如此，你的關注點是否準確完整呢？網絡健康度、掃描覆蓋范圍、平均修復時間、漏洞嚴重程度、修復率、漏洞暴露面……這個列表是無窮無盡的。市面上的每種工具都提供著各種不同的指標，因此很難知道什么是重要的。

本文將幫助你識別和定義一些關鍵指標，用于跟蹤漏洞管理計劃的狀態及其所取得的進展，以便你可以掌握以下情況，以備審計不時之需：

?證明你的安全態勢

?滿足漏洞修復的SLA和基線

?幫助通過合規性審計

?展示安全工具的投資回報率

?簡化風險分析

?優先分配資源

為什么你需要對漏洞管理進行評估

指標在評估漏洞和攻擊面管理的有效性方面發揮著關鍵作用。例如通過評估發現漏洞、確定漏洞優先級以及修復漏洞的速度，可以幫助你持續監控和優化其安全性。

通過正確的分析這些指標，你可以了解哪些問題更為關鍵，從而確定首先要解決的問題的優先級，并評估你的工作進度。最終，正確的指標可以讓你做出明智的決策，從而將資源分配到正確的地方。

漏洞數量常常是一個很好的切入點，但它并不能單獨告訴你太多信息——特別是如果沒有優先級、修復建議和進度跟蹤，那么多漏洞，你要從哪一個開始？因此，查找、優先處理并修復最關鍵的漏洞對于你的業務運營和數據安全而言，遠比簡單地查找每個漏洞重要得多。

智能優先級劃分和過濾噪音非常重要，因為當你被非必要信息淹沒時，很容易忽視真正的安全威脅。“智能化結果”優先考慮了對你的安全有真正影響的問題，不會讓不相關的弱點對你造成額外負擔，這使你的工作變得更輕松。

例如，面向互聯網的系統是黑客最容易盯上的目標。優先考慮可能的暴露面，以便可以更輕松地收斂攻擊面。漏洞管理工具應當用易于理解的語言解釋真正的風險并提供補救建議，使漏洞管理變得容易，即使對于非專家來說也是如此。除了優先級，你還應該對哪些指標進行評估呢？

漏洞管理報告頁面示例

漏洞管理的5個重要評估指標

1掃描覆蓋范圍

你正在跟蹤和掃描什么？掃描覆蓋范圍應當包括你管理并運營的所有資產，包括所有的關鍵業務資產、應用程序，以及各種類型的身份驗證信息（例如，基于用戶名和密碼的驗證信息或是無需密碼的身份驗證信息）。

隨著時間的推移，攻擊面也在演變、變化和增長，對攻擊暴露面以及IT環境的任何變化（例如最近打開的端口和服務）進行監測非常重要。現代化攻擊面管理工具可以檢測出你可能不知道的資產部署，并減少無意的敏感數據暴露面。它還可以監測云端系統的變化情況，發現新資產，并自動將你的IP或主機名與云資源同步。

2平均修復時間

安全團隊修復關鍵漏洞所需的時間揭示了團隊看到漏洞報告后做出反應的響應速度。安全團隊要負責處置安全事件并向管理層提供修復建議和行動計劃，因此這個時間應當始終保持在較低數值。同時，它還應該基于你預定義的SLA，針對不同嚴重程度的漏洞，有不同的響應與修復時間，這個時間可以是相對值，也可以是固定值。

3風險評分

你使用的漏洞管理工具，應當能夠對每一個漏洞事件的嚴重性進行自動定級，通常可定為“嚴重”、“高”或“中”。如果你決定不在指定時間段內修補特定漏洞或一組漏洞，則視為接受風險。這時，如果你愿意接受風險或有其他緩解手段，可以使用漏洞管理工具推遲這一漏洞。

例如，當你發現一個關鍵風險時，正準備接受SOC2或ISO審計，這時你可能愿意接受這一風險，因為修復該漏洞所需的資源并不匹配實際的風險級別或商業層面的潛在影響。當然，在報告層面，你的CTO可能想知道有多少漏洞修復被推遲以及真正的原因是什么！

4Issues

這是從漏洞被披露到掃描所有資產再到定位漏洞風險資產的關鍵點。從本質上講，你在自身攻擊面暴露面上檢測漏洞的速度，決定著你能夠修復這些漏洞并減少潛在攻擊者的時間窗口。

在實戰中這意味著什么？如果你的攻擊面不斷增加，你會發現全面掃描所有資產需要更長的時間，因此平均檢測時間也會增加。相反，如果你的平均檢測時間保持不變或下降，則說明你正在有效地利用資源。如果你面臨的情況是前者，你應該問自己為什么需要更長的時間才能檢測到漏洞？如果答案是攻擊面已經擴大，也許你需要對工具和安全團隊進行更多投資。

4追蹤進展

優先級（或智能化評估結果）對于幫助你決定首先修復什么非常重要，因為它對你的業務有潛在影響。漏洞管理工具應該能夠過濾掉噪音并幫助減少誤報，這是一個需要跟蹤的關鍵指標，因為一旦減少了噪音，你就可以回過頭來關注最重要的指標——平均修復時間。

為什么這很重要？因為當你確實發現問題時，你希望能夠盡快解決它。攻擊面管理工具使用多個掃描引擎來解釋輸出并根據上下文對結果進行優先級排序，因此你可以節省時間并專注于真正重要的事情。

5攻擊面監測

這可以幫助你了解整個攻擊面受保護的資產（已發現或未發現）的百分比。當你所在的機構上線新業務時，漏洞掃描程序應檢查新服務何時暴露，以避免無意中增加的數據暴露面。現代掃描儀應當能夠監測到你的云端業務系統的變化，發現新資產，并將IP或主機名與云資源進行同步。

為什么這很重要？你的攻擊面將不可避免地隨著時間的推移而演變，從開放端口到啟動新的云實例，你需要監測這些變化以最大程度地減少暴露面。這就是“攻擊面發現”的用武之地。在指定時間段內發現的新服務數量可以幫助你了解攻擊面是否在增長（無論是有意還是無意）。

6為什么這些指標很重要

現代攻擊面管理工具可以衡量最重要的內容。這些工具協助安全團隊負責人生成報告，優先考慮漏洞的合規性，還提供安全事件跟蹤等工具。有了它們，你可以了解到哪些資產易受到攻擊，還能獲得管理網絡風險所需的確切優先級、補救措施、建議和自動化。

原文鏈接：技術解析：漏洞管理為何需要正確的指標？ | 數字經濟觀察網 - 軟信官網 - 助力數字中國建設 (szw.org.cn)