企業(yè)安全漏洞管理失敗的三大頑疾
責(zé)編:gltian |2021-09-06 09:47:06
新型冠狀病毒給網(wǎng)絡(luò)安全專業(yè)人員帶來(lái)了巨大工作壓力。隨著網(wǎng)絡(luò)安全預(yù)算緊張、遠(yuǎn)程辦公的常態(tài)化,越來(lái)越復(fù)雜的威脅形勢(shì)已經(jīng)給漏洞管理提出了更加嚴(yán)峻的挑戰(zhàn)。
很多企業(yè)對(duì)漏洞管理的定義從一開始就過時(shí)了。漏洞管理,絕不僅是掃描企業(yè)網(wǎng)絡(luò)是否存在威脅這么簡(jiǎn)單。漏洞管理的整體方法包括識(shí)別、報(bào)告、評(píng)估和確定暴露的優(yōu)先級(jí)。至關(guān)重要的是,它還涉及風(fēng)險(xiǎn)管理背景。漏洞管理的綜合方法不僅是掃描安全漏洞,還包括展示攻擊者如何利用這些漏洞以及可能發(fā)生的后果。
準(zhǔn)確地說,漏洞管理應(yīng)當(dāng)采用全局方法,要求各方面協(xié)調(diào)工作,以降低關(guān)鍵業(yè)務(wù)資產(chǎn)的風(fēng)險(xiǎn),這也是安全運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)該為之奮斗的目標(biāo)。研究發(fā)現(xiàn),企業(yè)安全漏洞管理工作失敗主要有三大原因:
一、管理無(wú)序,未進(jìn)行威脅優(yōu)先級(jí)排序
無(wú)法對(duì)威脅進(jìn)行正確優(yōu)先級(jí)排序是企業(yè)目前在漏洞管理環(huán)境中面臨的最嚴(yán)重的問題之一。太多企業(yè)通過掃描識(shí)別安全漏洞,然后直接進(jìn)入修復(fù)階段。在某種程度上,這種緊迫性是可以理解的。但未能有效地確定優(yōu)先級(jí)可能會(huì)導(dǎo)致時(shí)間和資源的浪費(fèi),因?yàn)閳F(tuán)隊(duì)競(jìng)相解決的可能是那些對(duì)業(yè)務(wù)關(guān)鍵資產(chǎn)沒有真正風(fēng)險(xiǎn)的漏洞。
更糟糕的是,無(wú)序的漏洞管理反而會(huì)使企業(yè)變得更為脆弱。一個(gè)更好的方法是優(yōu)先關(guān)注于已確定的、可以被利用的漏洞風(fēng)險(xiǎn)。如果操作正確,這種優(yōu)先級(jí)排序可以消除對(duì)業(yè)務(wù)敏感的系統(tǒng)99%的風(fēng)險(xiǎn)。使用先進(jìn)的攻擊補(bǔ)丁管理解決方案、使用以攻擊為中心的關(guān)鍵風(fēng)險(xiǎn)上下文關(guān)聯(lián)方法對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序,能夠全面顯示漏洞對(duì)企業(yè)的真實(shí)威脅:每個(gè)漏洞被利用的可能性以及每個(gè)漏洞對(duì)企業(yè)的關(guān)鍵資產(chǎn)構(gòu)成的風(fēng)險(xiǎn)。
二、不能堅(jiān)持,缺乏連續(xù)性管理計(jì)劃
有效的漏洞管理計(jì)劃應(yīng)該是持續(xù)的,而不是偶發(fā)的。如果企業(yè)不采取持續(xù)的方法,他們將難以控制漏洞的流動(dòng)并積累大量“漏洞債務(wù)”。跟蹤新涌現(xiàn)的漏洞往往會(huì)讓安全團(tuán)隊(duì)疲于奔命,而處理不斷積壓的安全問題可能會(huì)使安全運(yùn)營(yíng)不堪重負(fù)。因此,漏洞管理應(yīng)當(dāng)使用以連續(xù)和自動(dòng)化漏洞識(shí)別為中心的持續(xù)方法,而不是不定期的掃描和修復(fù)。這是企業(yè)持續(xù)改進(jìn)安全態(tài)勢(shì)的關(guān)鍵措施之一。
三、溝通不暢,管理團(tuán)隊(duì)架構(gòu)不清晰
當(dāng)安全團(tuán)隊(duì)沒有明確的溝通渠道和正確的組織結(jié)構(gòu)時(shí),一般都會(huì)出現(xiàn)問題。團(tuán)隊(duì)成員經(jīng)常沒有明確的角色,他們不了解自己在整體漏洞管理框架中的職責(zé)。當(dāng)團(tuán)隊(duì)成員有明確的角色定義和明確的職責(zé)、目標(biāo)時(shí),他們才可以有效地工作和協(xié)作,了解如何將工作與他人的角色和責(zé)任相關(guān)聯(lián),而避免錯(cuò)過更大的安全圖景。
這種溝通需求也延伸到了最高管理層。鑒于強(qiáng)大的網(wǎng)絡(luò)安全能力已成為一項(xiàng)重要的企業(yè)戰(zhàn)略目標(biāo),公司領(lǐng)導(dǎo)層應(yīng)當(dāng)充分了解安全計(jì)劃的重要性。數(shù)據(jù)泄露數(shù)量逐年增加,一次數(shù)據(jù)泄露就可能導(dǎo)致嚴(yán)重的聲譽(yù)和財(cái)務(wù)損失,甚至企業(yè)關(guān)門倒閉。漏洞管理已經(jīng)不再只是IT支出的一個(gè)分支,它應(yīng)該是一個(gè)關(guān)鍵的業(yè)務(wù)目標(biāo)。
為了實(shí)現(xiàn)高效漏洞管理,企業(yè)必須意識(shí)到漏洞管理應(yīng)該是一個(gè)持續(xù)的、多階段的過程。當(dāng)然,在IT部門內(nèi)部,也應(yīng)該刮骨療毒,徹底解決困擾漏洞管理效率的三大頑疾。
來(lái)源:安全牛
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧