漏洞管理的力量 兼談漏管成熟度
責編:gltian |2019-03-25 13:50:54漏洞管理依然是大多數安全計劃的重要組成部分,全球絕大多數公司企業都認同這一點。
在安全公司Tripwire最近的一份網絡健康狀態調查中,80%的受訪者稱自家企業有漏洞掃描計劃。約60%的受訪者每天或每周進行一次掃描,40%的受訪者表示每月、每季度或更長時間才掃描一次。有趣的是,僅一半的受訪者稱自家公司會進行經驗證的掃描。
無論是遠程還是代理,受信任的漏洞掃描(擁有掃描項目用的用戶名和口令)要比端口掃描或者攻擊視角的無憑證掃描方式更具可見性。也就是說,幾乎一半的公司企業沒有充分利用成熟漏洞掃描項目賦予的力量。若缺乏自身環境可見性,公司企業無疑就將自己放到了更多風險面前。
漏洞管理成熟度模型可以幫助公司企業更好地了解自身漏洞管理項目與既定目標之間的差距,方便找出實現安全項目目標的辦法。
漏洞管理成熟度模型是什么?
第一個成熟度階段被稱為“落后的”。處在這一階段的公司企業要么沒有任何漏洞掃描,要么只做臨時性的測試——通常就是第三方供應商做的某些滲透測試,也就是出個漏洞報告的程度。關鍵漏洞可能會得到修復。Tripwire的調查中,約11%的公司企業處在這一階段。
第二個成熟度階段被稱為“勾選框式”。漏洞掃描以固定的頻率在內部進行。在這一階段,漏洞項目背后的驅動力往往只是某種監管規定要求。這意味著信息安全團隊往往就只做監管要求的內容,不會更多。這很危險,因為大多數監管規定通常只包含絕大多數公司企業緩解風險和獲取證書所需的最低通用要求。符合這樣的監管規定,未必意味著公司企業能夠切實提升自己的安全狀況。合規不等同于安全。通常說來,合規標準都是普遍適用的,反應不出公司特定環境中安全團隊應采取的具體措施。
第三個成熟度階段是“有限的”。程序和過程定義良好,且為公司所理解,也受到管理層的一定支持。漏洞掃描更為頻繁,創建的報告更適合具體受眾:系統管理員收到漏洞報告,管理層收到風險趨勢報告。
第四個成熟度階段是“漏洞管理項目”。處在這一階段的公司企業能產生并跟蹤正式且可量化的指標,定義可接受風險水平,并設置了緩解過程。
第五個,也是最為成熟的一個階段被稱為“風險管理”。在這一階段,漏洞管理是整個風險管理過程的一部分。漏洞管理數據隨安全配置數據一起收集,提供全面的風險評估。
目前大多數公司企業都只處在“勾選框式”或“有限的”階段,但他們真的想要達到“漏洞管理項目”或“風險管理”階段。是什么阻礙了他們前進的腳步呢?通常都是資源匱乏導致的,匱乏的資源要么是時間,要么是資金,要么是人手。
于是,該如何說服通常不是信息安全專業出身的管理層看到漏洞管理項目的價值呢?
提升公司安全成熟度水平的3個步驟
首先,跟領導團隊探討公司風險耐受情況。向他們呈現一些風險,提供緩解成本和資源限制上的一些權衡,傾聽他們在如何解決這些風險上的看法。想要確定風險閾值,就得把潛在后果翻譯成對高管來說有意義的東西。比如說,如果某風險可能導致主要服務明年宕機4小時,這項風險是否需要升級到高管層面?如果僅引發30分鐘的服務中斷又會怎么樣?此類風險真的需要升級到高管層嗎?
其次,漏洞管理項目需與業務協調一致。與其成為總是說 “不” 的團隊,不如找到可以推動公司達成年度業績的方法。
最后,設立面向業務的指標,呈現漏洞管理項目的必要性和價值。例如,提供業務關鍵資產相對總資產的占比,可以一定程度上了解公司面對的總體風險情況。另外,用業績指標表達你要交付的價值。例如,描述修復半數漏洞所需時間的緩解半程時間,就能顯示公司減小風險并變得更加安全的速度。
Tripwire網絡健康狀態報告:
https://www.tripwire.com/misc/state-of-cyber-hygiene-report-register/