高效漏洞管理的七項(xiàng)基本原則

安全牛
漏洞管理 (VM) 似乎無(wú)處不在,你隨便抓住一個(gè)企業(yè) IT 人士詢問(wèn)是否實(shí)施了漏洞管理,絕大多數(shù)人都會(huì)給你肯定的答復(fù)。

漏洞管理 (VM) 似乎無(wú)處不在,你隨便抓住一個(gè)企業(yè) IT 人士詢問(wèn)是否實(shí)施了漏洞管理,絕大多數(shù)人都會(huì)給你肯定的答復(fù)。

聽(tīng)上去是似乎大家的 IT 系統(tǒng)都已經(jīng)千針萬(wàn)線,嚴(yán)絲合縫,連一只蒼蠅都飛不進(jìn)去,但實(shí)際上呢?一下雨就是鍋碗瓢盆交響樂(lè)。

事實(shí)上,所謂的漏洞管理存在著各種各樣的實(shí)現(xiàn)方式,從定期的滲透測(cè)試到全面的企業(yè)漏洞管理,任何一個(gè)疏漏都可能滿盤(pán)皆輸。人們常掛在嘴邊的脆弱性風(fēng)險(xiǎn)問(wèn)題,幾乎從未得到真正解決。在安全牛對(duì)國(guó)內(nèi) 200 位 CSO 讀者的調(diào)查中,有 26% 的受訪者表示由于未及時(shí)修補(bǔ)漏洞而蒙受了安全損失。

正是由于企業(yè)漏洞管理水平無(wú)法趕上不斷增長(zhǎng)的漏洞威脅,漏洞管理市場(chǎng)近年來(lái)正在穩(wěn)步增長(zhǎng),大量企業(yè)都準(zhǔn)備或者已經(jīng)在升級(jí)或替換現(xiàn)有工具。

但是對(duì)于企業(yè) CSO 和 CIO 來(lái)說(shuō),在投資或者選擇新的漏洞管理或脆弱性風(fēng)險(xiǎn)管理相關(guān)工具產(chǎn)品和方案之前,都首先需要明確一點(diǎn),你如何判斷漏洞管理項(xiàng)目的有效性?如何成功實(shí)施漏洞管理項(xiàng)目?很多時(shí)候,漏洞管理不是一個(gè)技術(shù)問(wèn)題而是一個(gè)管理問(wèn)題,更準(zhǔn)確點(diǎn)說(shuō),是一個(gè)企業(yè)的 “衛(wèi)生習(xí)慣”,以下安全牛總結(jié)了七個(gè)高效漏洞管理的好習(xí)慣:

1

贏得高層支持

高層的態(tài)度對(duì)于漏洞管理項(xiàng)目來(lái)說(shuō)意義重大,但是讓高層心悅誠(chéng)服而不是將信將疑地說(shuō) “支持” 其結(jié)果有著天壤之別。具體來(lái)說(shuō),你的項(xiàng)目計(jì)劃能贏得領(lǐng)導(dǎo)多大程度的支持,很大一部分取決于你的表達(dá)能力和項(xiàng)目本身效果的“可視化”程度。如果成敗的價(jià)值差異或者嚴(yán)重程度不足以打動(dòng)領(lǐng)導(dǎo),那么你的預(yù)算自然也是可有可無(wú)。

2

以資產(chǎn)發(fā)現(xiàn)為基本點(diǎn)

對(duì)漏洞管理范圍的任何限制都會(huì)增加可見(jiàn)性風(fēng)險(xiǎn)。因此,必須將資產(chǎn)發(fā)現(xiàn)作為任何漏洞管理程序的核心組件。如果漏洞管理項(xiàng)目未能覆蓋某些資產(chǎn)或特定業(yè)務(wù)領(lǐng)域,那么它在降低風(fēng)險(xiǎn)方面的效用也會(huì)大打折扣,因?yàn)槟鸁o(wú)法消除未知風(fēng)險(xiǎn)。同樣,如果資產(chǎn)發(fā)現(xiàn)不是連續(xù)或者高頻的,也會(huì)存在過(guò)時(shí)或失真風(fēng)險(xiǎn)。

3

高頻掃描

高頻掃描聽(tīng)上去有點(diǎn)像 “連續(xù)掃描”,給人不妙的感覺(jué)?,F(xiàn)實(shí)情況是,進(jìn)行高頻率掃描的原因一般兩個(gè):首先是為了配合補(bǔ)救工作,其次是為了捕捉風(fēng)險(xiǎn)畫(huà)像中的重要變化(例如,發(fā)現(xiàn)新的高風(fēng)險(xiǎn)漏洞)。

但有一點(diǎn)需要明確,掃描頻率不是越高越好,而應(yīng)該是合理的。頻率的設(shè)定需要與兩個(gè)目標(biāo)關(guān)聯(lián)在一起:首先,如果你的修復(fù)節(jié)奏是每月一次,那么每天掃描也無(wú)助于改善結(jié)果。但是,如果您的變更管理不夠充分,那么可以考慮通過(guò)更頻繁地掃描來(lái)降低某些風(fēng)險(xiǎn)。理想的狀態(tài)是掃描頻率與修復(fù)節(jié)奏同步,而且在變更時(shí)能夠自動(dòng)執(zhí)行掃描。

4

融入業(yè)務(wù)環(huán)境

武無(wú)第一,同理漏洞風(fēng)險(xiǎn)也不是極限運(yùn)動(dòng),如果你把布局重點(diǎn)放在一些絕對(duì)的風(fēng)險(xiǎn)上,忽略了業(yè)務(wù)環(huán)境和需求,那么你反而可能 “抓大放小”,漏掉了正真危險(xiǎn)的,業(yè)務(wù)桌面上的 “小” 風(fēng)險(xiǎn)。高效漏洞管理的修復(fù)工作優(yōu)先級(jí),需要將漏洞放在業(yè)務(wù)環(huán)境和系統(tǒng)環(huán)境進(jìn)行考量。說(shuō)白了,就是要首先處理具有更高價(jià)值和更高業(yè)務(wù)風(fēng)險(xiǎn)的資產(chǎn)。

5

例外不是借口

您無(wú)法管理自己不知道的風(fēng)險(xiǎn),通過(guò)掃描創(chuàng)建例外會(huì)帶來(lái)很多未知風(fēng)險(xiǎn)。在環(huán)境中很可能存在無(wú)法掃描的設(shè)備,它們往往是一些稀疏分布的老舊設(shè)備。但這些 “犄角旮旯” 的例外并不能成為例外的理由,一臺(tái)靠近窗戶的老掉牙的復(fù)印機(jī)能有多大風(fēng)險(xiǎn)?只有那些積極主動(dòng)測(cè)繪并完善防護(hù)面的企業(yè)才能防患于未然,在漏洞管理方面表現(xiàn)出色。

6

指標(biāo)化管理

三人成虎的恐慌銷售策略 (FUD) 是網(wǎng)絡(luò)安全行業(yè)多年來(lái)的標(biāo)準(zhǔn)操作,但是有效的漏洞管理項(xiàng)目可不能建立在 FUD 戰(zhàn)術(shù)之上,而是應(yīng)該基于指標(biāo)。只有把 “好” 給指標(biāo)化了,你才能有效評(píng)估工作,找出工作的不足之處。

7

漏洞修復(fù)重在流程整合

查找和評(píng)估漏洞風(fēng)險(xiǎn)的目的并不是出一個(gè)漂亮的報(bào)告。關(guān)鍵是要制定更好的風(fēng)險(xiǎn)緩解決策,關(guān)鍵是要采取行動(dòng)解決問(wèn)題,交付結(jié)果。有效的漏洞管理必須結(jié)合有效的補(bǔ)救措施。很遺憾,沒(méi)有漏洞評(píng)估工具會(huì)自動(dòng)執(zhí)行補(bǔ)救操作。你必須將有效的漏洞管理程序與補(bǔ)救工作流集成在一起,才能有效推動(dòng)企業(yè)的漏洞管理水平,但難點(diǎn)是企業(yè)內(nèi)部工作流往往數(shù)量眾多,集成存在相當(dāng)。

你需要首先 “摸底” 再 “撈底”,搞清楚企業(yè)的業(yè)務(wù)流程和不同部門(mén)的工作方式,然后找出將補(bǔ)救工作整合到流程中的方法。

市場(chǎng)已經(jīng)有大量的漏洞評(píng)估產(chǎn)品,但是有效的漏洞管理卻依然存在很大的改進(jìn)空間。以上這七個(gè)原則,也許不一定能夠讓你 “七步成詩(shī)”,但如果能給你的工作帶來(lái)一些新的思路和啟發(fā),也就足矣。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論