CISO 仍然會犯的漏洞管理錯誤

大量攻擊已被追溯到其所對應的未修補漏洞，包括2017年信用報告機構Equifax嚴重的數據泄露。Tripwire在2017年的一項研究發現27%的攻擊是由未打補丁的漏洞造成的，而 Ponemon在2018年的研究中得到的相關數據卻是60%，這更加讓人驚訝。

在過去的幾年里，新發現的漏洞數量每年都在上升，這對于安全領域的工作者來說并不意外。

與此同時，安全團隊也一直處于緊張狀態，他們忙于實現安全的遠程工作，以及解決其他與疫情相關的需求，同時還要應對人員短缺的問題。

因此，改進漏洞管理程序并不總是首要任務。

然而，經驗豐富的安全主管們表示，大部分組織中都存在著一些常見的錯誤和失誤，它們本可以并且也應該得到解決，從而加強相關項目的安全性。以下是主管們提到的CISO仍經常犯的10個錯誤：

1、未能得到高管的支持

一個好的漏洞管理程序所需要的工作量遠遠超出了安全團隊的承受范圍。風險決策需要執行輸入操作，打補丁則需要IT專業知識，同時為了更新導而致的對停機時間的安排會影響多個業務功能。

管理服務提供商Thrive的首席技術官 Michael Gray表示，正因如此，CISO需要得到組織中多方面參與者的支持，這樣才能很好地完成安全任務，并且只有當他們得到企業高層領導的支持時，才更有可能獲得這種來自多方面的支持。

另一方面，那些漏洞管理工作缺乏高層領導支持的CISO可能會因為其對風險可接受程度的了解不夠清晰明確，以及IT和業務部門對打補丁和系統停機時間安排的抵制而受到阻礙。

但同時也有一些好消息：Gray表示隨著網絡安全已成為董事會層面的問題，CISO也越來越多地得到了高層領導的支持。分析公司Gartner的數據證實了這一趨勢，其2021年的董事調查發現，88%的董事會如今都將網絡安全視為一種商業風險。  

2、未培養出共同的責任感

Under Armour的CISO，Alex Attumalil表示，CISO承擔了它們本不該承擔的VM（漏洞管理）責任。

CISO并未擁有其組織所支持的系統或業務功能，亦沒有權力單獨決定該組織是否可以接受任何特定的風險。

他表示：“我們并沒有被賦予代表公司來承擔風險的權力，所以我們必須大量收集相關信息。”CISO需要與企業的領導們就業務風險進行溝通，根據業務風險來構建漏洞管理，并讓高層領導參與到解決方案的決策中。他們需要明白自己要對本企業引入的漏洞負責。

Attumalil表示，這種方式可以讓CISO以外的高管參與到“游戲”中來，在漏洞管理工作方面（比如對打補丁和停機的時間安排），他們可以提供更多的支持和協作。 

3、使用通用的風險優先級

Pulse為安全供應商VulcanCyber最近進行的一項研究顯示，在200多名接受調查的企業IT和安全主管中，絕大多數表示并沒有根據其組織獨特的風險配置來對漏洞進行優先級排序。具體來說，86%的受訪者表示其組織依賴第三方提供的關于漏洞嚴重性的數據來確定漏洞修復的優先級，其中70%的受訪者還表示會用到第三方提供的威脅情報。

資深的安全負責人對這種做法提出了警告，稱這可能會使CISO及其團隊將有限的資源集中使用在那些無關緊要的威脅上。

KLC咨詢公司為美國國防承包商提供網絡安全咨詢和vCISO服務，該公司的總裁兼CISO ——KyleLai推薦了一種獨特的方法。他表示，CISO及其團隊必須了解自己組織的技術環境、最新的資產庫存，以及組織的風險偏好和風險承受能力，這樣他們才能夠識別出組織所面臨的最大威脅，并對其進行優先級排序。

他們應該對具體漏洞可能會造成多大的威脅有一個清晰的了解，應該知道哪些漏洞更加嚴重，并根據其對組織的影響來確定優先級。

4、缺乏訓練

Lexmark International 的CISO Bryan Willett 表示，修復Linux系統所需的技能與修復Windows所需的技能不同，并且這些技能與那些在漏洞管理程序中執行其他任務所需的技能也不同。

此外，他還表示，安全工作人員對漏洞管理所需要的知識與IT工作人員在實際系統中進行補丁所需要的專業知識也不同。所以他希望不同的團隊可以得到承擔自己責任所需要的有針對性的訓練。

但安全主管表示，并不是所有的組織都致力于進行持續的訓練來使員工獲得世界級別的安全能力，更具體地說，就是并不追求讓員工具備強大的漏洞管理能力。專家表示，組織有時低估了漏洞管理任務所需的專業化程度或者員工接受有關自己企業使用的特定系統或工具的培訓的重要性。

Willett補充道：“每個人都需要記住的是，員工有意向去做正確的事情，但我們必須對他們進行投資，這樣才能使其有能力去做正確的事情。”

5、未能跟蹤代碼

Linux基金會的一項研究表明，越來越多的組織開始使用軟件物料清單(SBOM)來更好地理解自己組織系統中的所有代碼。更具體地說，47%的企業正在生產或消費SBOM，以及78%的企業預計在2022年生產或消費SBOM（高于2021年的66%）。

盡管這些數據顯示SBOM的使用量有所增加，但數據同時也表明，很多組織可能仍然無法了解其IT環境中的所有代碼。Lai表示，這種可視性的不足限制了他們判斷組織中是否存在需要解決的漏洞的能力。

他還表示，組織必須了解自己使用了哪些代碼和開源組件，只有這樣當類似于Log4J的攻擊出現時，組織才可以知道它存在的所有位置。

6、推遲升級

普華永道的網絡與隱私創新研究所在專業服務部門的負責人Joe Nocera表示，盡管漏洞管理是一項永無止境的任務，但可以通過解決技術債來將其構建成一個更加有效的程序。

正如Nocera解釋的那樣：“組織可以下線的遺留版本或在標準堆棧上進行整合的東西越多，那么該組織所需要處理的漏洞就越少。這就是為什么說簡化和整合是提升能力的最好方法。”

Nocera承認，下線遺留版本和解決技術債務并不能解決漏洞。但擺脫遺留版本確實可以免去一些工作，這樣企業就可以消除那些不再能打補丁的系統，從而降低風險。

他表示，通過消除這些問題，安全團隊和IT團隊可以將他們的重點轉移到解決更為優先的事項上，從而提高了該項目的效率和效果。

盡管這個方法有很多優點，但許多組織并沒有將此作為優先事項：遠程監控和管理云平臺制造商Action1Corp在2022年發表的一項終端管理和安全趨勢報告發現，只有34%的受訪者打算專注于“消除那些已被云取代的高風險遺留軟件”。

7、忽略新威脅出現的新聞

有關新漏洞或新出現威脅的首要警告往往是那些缺乏細節的簡短公告。Lai表示，盡管這些早期報告提供的信息有限，但安全團隊不應該忽視它們的重要性。實際上，追蹤不同安全來源的新聞和新聞標題，來了解即將來臨的事件是非常重要的。

他說：“要關注將要發生的事，雖然這不會提供任何的細節，但有助于更好地為此做準備，可以提前開始行動或做出計劃”

8、響應每一個新威脅

另一方面， Forrester Research公司的高級分析師Erik Nost對CISO們發出警告：響應突發新聞之前，一定要事先對突發新聞進行評估，并判斷該突發事件對自己組織的影響程度。

他表示，許多CISO越來越頻繁地學習如何處理零日漏洞以及那些登上新聞頭條的漏洞。識別哪些漏洞是新聞的轟動效應以及哪些漏洞真正會對自己組織造成實際威脅是一項挑戰。但要求安全團隊優先補救發送到收信箱中的或CEO在新聞中看到的所有漏洞并不是一個正確的選擇。

Nost 指出，Cornell大學最近的一項分析顯示，APT(高級持續攻擊)利用已知漏洞的概率要大于利用零日漏洞的概率。因此CISO也應該考慮到威脅人員，以及APT是否有可能盯上自己的組織。”

他說，比起琢磨媒體正在報道的東西，安全團隊更應該優先考慮采取積極的實際措施。

Nost補充道，團隊的時間很緊迫。如果他們“打地鼠”一樣地對推特上出現的每一個漏洞都進行響應的話，就會對評估自己組織面臨的風險失去積極性，也就無法積極地根據組織對風險的接受程度來優先地修補那些更加嚴重的威脅和漏洞。一旦有零日漏洞或已知漏洞登上了新聞頭條，安全團隊仍需要對此采取行動，所以，組織應該具備對威脅進行評估的程序。

9、依靠過時的信息

Gartner 的董事會調查不僅顯示大多數董事會如今都將網絡安全問題視為一種風險，它還發現，大多數受訪者（57%）在2021-2022年期間對風險的重視有所增加或者預期會增加。與此同時，每年新發現的漏洞數量仍在逐年增長。而典型企業的IT環境也在不斷發展。

綜上所述，這些觀點都說明了CISO需要開發流程來重新審視和審查其組織用于漏洞修復優先級的算法。

Gray表示，公司往往不擅長管理漏洞的生命周期。其總是在增長，總是在變化，是一件需要不斷關注的事情。

10、沒有將安全性集成到開發中

Nocera表示，大多數組織并沒有在開發過程中引入安全和安全設計原則，這導致了CISO和CIO錯過了為其組織共同構建更加高效的漏洞管理程序的機會。

Nocera還說，盡早將安全問題引入到開發過程中（或者“左移”），有助于讓CISO在代碼投入生產之前搶先解決安全問題。這樣也就減少了在環境中引入已知漏洞的概率。”

安全左移并不一定會減少漏洞管理的工作量，但如同下線遺留的系統和解決技術債務一樣，它釋放了資源，可以幫助團隊優化他們的漏洞管理工作。