有效管理安全漏洞的8個最佳實踐

首席信息安全官要向企業員工宣傳掌握安全基礎的必要性，他們在努力建立一個穩健的漏洞管理計劃。其計劃可能會因需要關注的漏洞數量、解決漏洞所需的速度或有效所需的資源而受到阻礙。

例如，考慮一下安全團隊在解決Log4j漏洞方面所面臨的挑戰。由經過認證的網絡安全專業人員組成的非營利性協會(ISC)2最近的一項調查發現，52%的受訪者花費數周或一個月以上的時間來修復Log4j漏洞。 

誠然，Log4j漏洞的影響范圍很大，但安全專家表示，這一數字以及其他研究和他們自己的調查表明，許多企業仍在完善他們用來識別、確定優先級和修復軟件中的安全問題的流程。 

以下一些最佳實踐有助于構建高效的漏洞管理計劃： 

(1)了解自己的環境 

安全專家強調，首席信息安全官需要準確了解他們需要保護的技術環境;這有助于他們了解他們的技術堆棧中是否存在已知和新發現的漏洞。 

然而，這說起來容易做起來難。網絡安全培訓機構SANS Institute公司的認證講師、安全技術商Scythe公司的首席技術官以及C2 Matrix項目的共同創建者Jorge Orchiles說，“每個人都說他們有安全措施，但通常需要更深入一點。他們不知道幕后發生了什么。這仍然是最大的挑戰。” 

他說，已經看到成熟的安全操作占其環境的主要組成部分，但卻忽略了較小的元素和代碼本身，這種疏忽可能留下了未修補的關鍵漏洞。 

Orchiles建議網絡安全領導者確保他們擁有技術環境的詳細記錄，其中包括編程庫等所有組件(事實證明，這些組件對于修補Log4j漏洞的企業至關重要)。此外，每當推出一個新系統時，首席信息安全官帶來的團隊必須不斷地更新該記錄。 

(2)制定一個真正的計劃(不僅僅是臨時工作) 

掃描漏洞并修復出現的任何漏洞似乎足夠了，但安全專家表示，臨時方法既低效又不充分。例如，安全團隊花費寶貴的時間修補對其企業構成有限威脅的漏洞，而不是優先考慮高風險問題。或者他們忙于完成其他項目并推遲漏洞管理工作，直到他們有空閑的時間。 

TCE Strategy公司首席執行官Bryce Austin表示，為了防止這種情況發生，首席信息安全官應該采用程序化方法進行漏洞管理，該方法結合了企業對風險的容忍度以及確定優先級、補救和緩解已識別漏洞的流程。 

該計劃還應確定企業執行漏洞掃描的頻率，并應包括與供應商補丁發布日期相關的時間表。 

咨詢機構Protiviti公司的技術風險、IT審計和網絡安全服務董事總經理兼ISACA紐約大都會分會主席Farid Abdelkader補充說，一個良好的漏洞管理計劃應該有明確的流程和政策、特許團隊和治理。 

Abdelkader還建議首席信息安全官使用可以顯示其執行情況的關鍵績效指標，來確定良好的外觀，確定需要改進的領域，然后指示隨著時間的推移取得的進展。 

《足夠安全嗎?面向企業主和高管的20個網絡安全問題》一文的作者Austin表示，擁有成熟漏洞管理計劃的企業有一個向企業高管報告其活動的流程，以便他們了解該計劃的重要性及其跟蹤記錄。他指出，這有助于確保進行有效的監督，并將漏洞管理與企業內部的任何其他業務風險一樣對待。 

(3)根據企業自身的風險進行定制 

企業需要不斷發現新的漏洞，再加上現有已知漏洞，幾乎不可能修復這些問題。Abdelkader說，企業找到一種方法來查明最重要的漏洞并確定修復工作的優先順序是至關重要的。 

Abdelkader說，“企業了解事件的嚴重性。詢問如果出現漏洞怎么辦?這對數據有何影響?或者如果系統出現故障?這會對企業的業務、客戶或聲譽產生什么樣的影響?企業需要了解這些資產的真正風險以及這些事情發生的實際風險。” 

這項工作可以由漏洞掃描、供應商和其他安全渠道提供的分類(高、中、低)指導，但該過程應考慮企業對風險的容忍度、技術環境、行業等。 

他解釋說，“它必須與企業、關鍵資產和資源、數據、計算機或系統對關鍵威脅的暴露程度有關。” 

他指出，作為一個孤立的系統，所面臨的風險與當前的系統不同;因此，每個人都應該獲得與自身風險相對應的不同級別的補救優先級。 

不過他補充說，這種基于企業自身風險狀況的定制和優先排序并不總是會發生。他說，“我看到很多漏洞管理項目都是從一個列表開始的，該列表列出了漏洞掃描發現的內容，以及對企業實際存在的關鍵風險，以及真正關心的問題。” 

(4)重新審視風險和優先事項 

提高企業的風險承受能力，并建立工作優先順序的流程，對于強大的脆弱性管理計劃都至關重要。但這些任務不能被視為一項已完成的任務。 

Austin補充說，他們應該至少每年都重新訪問一次，也可以在企業內部或IT環境發生重大變化時訪問。 

(5)使用框架和系統 

MITRE Engenuity技術基金會威脅情報防御研究與開發中心的聯合創始人兼代理主任Jon Baker表示，企業無需自己獨立開發技術來幫助完成漏洞管理任務，因為很多企業已經開發了框架和其他系統來幫助首席信息安全官進行管理。 

Bake說，“這些框架和系統可以幫助企業查看安全漏洞，并了解網絡攻擊者如何使用它們的方法，因此可以使用框架和系統來確定漏洞和其響應的優先級。” 

MITRE Engenuity技術基金會擁有其通用漏洞和暴露(CVE)系統，該系統自1999年以來一直提供有關公開已知漏洞和暴露的信息(正如其名稱所述)，并具有與這些漏洞相關聯的特定代碼庫版本。還有NIST特別出版物800-30，企業可以使用它來進行風險評估。 

此外，還有通用漏洞評分系統(CVSS)，這是一個開放框架，企業可以使用它來評估安全漏洞的嚴重性，以便可以根據威脅級別對它們進行優先級排序。 

MITRE Engenuity技術基金會還擁有其ATT&CK框架(利用CVE)，企業可以使用該框架來確定需要他們注意的漏洞的優先級，作為全面的威脅知情防御策略的一部分。 

(6)考慮直接供應商、第三方引入的漏洞 

Log4j漏洞之所以如此成問題，部分原因是Log4J工具如此普遍，存在于企業IT團隊和軟件供應商開發的眾多應用程序中。 

Baker說，Log4j漏洞于2021年底浮出水面，這也表明，首席信息安全官需要了解、評估、優先考慮和緩解供應商產品中存在的或由第三方引入的漏洞。 

他承認，企業安全團隊在這方面遇到了挑戰，因為企業安全部門往往不知道供應商解決方案中存在哪些漏洞，甚至可能無法在這些系統上運行漏洞掃描。 

他說，“對于我們所依賴的系統所利用的代碼和工具，我們確實缺乏透明度。”他指出，軟件材料清單(SBOM)是軟件中的組件列表，在某些情況下可以提供一些可見性。 

Baker建議，首席信息安全官審查他們與供應商就在管理其產品中的漏洞方面的角色達成的協議，然后在必要時尋求插入合同語言，以限制錯誤被忽視或未修復的可能性。 

他說，“這是企業的漏洞管理計劃的一部分：了解提供商和第三方如何跟蹤、確定優先級和修補漏洞。” 

(7)建立制衡機制 

另一個最佳實踐是：不要將漏洞管理分配給IT團隊。安全專家表示，首席信息安全官應該有一個專門的個人或團隊，負責識別漏洞、確定修復的優先級，以及監督補救和緩解措施的執行。 

Austin說，“他們需要有人對進行實際修補的團隊保持健康的關系，因為對于那些通過進行更多修補而使工作變得更加困難的基礎設施人員來說，對漏洞掃描進行嚴格的檢查變得更難。任何自我監督職能都非常容易受到冷漠或腐敗的影響。因此需要制衡。” 

很多人對此表示認同，并指出首席信息安全官可以選擇托管安全服務提供商(MSSP)來運行其漏洞管理程序，然后與內部基礎設施、工程和/或devops團隊合作執行補丁，并處理任何所需的停機時間和所需的測試。 

(8)投資工具和團隊 

安全專家強調，有效的漏洞管理與安全領域的其他所有工作一樣，需要合適的人員、流程和技術。 

他們指出，許多企業都有所有這些部分，但并不總是讓這三個部分有效地協同工作。Baker表示，安全團隊通常擁有掃描工具，但可能沒有引入有效處理工作負載所需的自動化， 

此外，Orchiles表示，首席信息安全官和他們所在的公司必須承諾提供使這些團隊成功所需的資源。 

他指出，投資工具和團隊可能看起來很直觀，但并不總是遵循這樣的建議。例如，看到首席信息安全官投資于一種新工具，但沒有投資運行該技術所需的員工、最大限度地利用技術所需的培訓以及所需的變更管理。 

他補充說，“如果沒有這些，工具將無法工作。”