針對痛點修復:2023年有效的漏洞管理
責編:gltian |2023-03-09 13:56:04最近發布的 Security Navigator 報告數據顯示,企業仍需要大約215天來修復一個報告的漏洞。即便是關鍵漏洞,通常也需要6個月以上的時間來修復。
良好的漏洞管理,并不在于修復漏洞方面的速度。它更在于通過漏洞優先級來將重心放在真正要緊的漏洞上,從而減少公司的攻擊面。公司的數據和威脅情報之間需要具有相關性以及自動化能力。這有助于內部團隊能夠集中精力進行補救工作。合適的技術可以形成一個全球漏洞智能平臺。該類平臺可以使用風險評分來幫助對漏洞進行優先級排序,從而使企業專注于其真正關鍵的組織風險。
引言
在建立一個有效的漏洞管理程序之前,要牢記一些事實:
1、每年新檢測出的漏洞數量正不斷增加。如今平均每天都能發現50個新漏洞。可想而知,要全部的漏洞是幾乎不現實的。
2、在所發現的全部漏洞中,僅有一部分能夠對所有組織產生大范圍的影響,而這些漏洞才算是能夠被有效利用。數據顯示,僅有大約6%的漏洞曾在野外被利用。所以,我們所需要的是減輕漏洞管理的負擔,專注于真正的威脅。
3、即使是同一個漏洞,對于不同公司的業務和基礎設施也會產生完全不同的影響。因此,組織需要同時考慮業務的暴露程度和漏洞的嚴重性。基于這些事實,我們就可以明白,沒有必要修復所有的漏洞。相反,我們更應該關注那些對威脅環境以及組織內部情況具有針對性的真正威脅。
基于風險的漏洞管理概念
此概念指的是重點關注最關鍵的資產以及攻擊者所針對的高風險資產。為了處理基于風險的漏洞管理程序,我們需要考慮兩個環境。
內部環境
客戶的環境代表內部環境。隨著公司網絡的持續增長和多樣化發展,其攻擊面也不斷擴張。攻擊面代表著黑客所能接觸到信息系統的所有組件。了解自己信息系統和攻擊面的情況是保護公司安全的第一步,這需要清晰并及時地掌握相關信息。同時,考慮業務環境也很重要。公司可以因其業務領域中所擁有的特定數據和文檔(知識產權、機密國防等)而成為更大的目標。最后一個需要考慮的關鍵因素是公司的獨特背景。目的是根據其關鍵性來對資產進行分類,并突出最重要的資產。例如,資產的可用性若遭到破壞,業務的持續性將面臨嚴重的中斷;或者說如果高度機密的資產被非法訪問,那么公司將會面臨相應的法律訴訟。
外部環境
威脅環境代表外部環境。此數據無法通過內部網絡訪問。組織需要花費人力和財力來查找并管理這些信息。另外,這項工作也可以外包給專業人員,由他們來監控威脅環境,從而維護組織的利益 。
同時,了解那些被實際利用的漏洞也是十分必要的,因為它們會對公司構成更高的風險。這些被實際利用的漏洞可以通過威脅情報能力,結合漏洞數據來進行跟蹤。為了取得最有效的成果,要盡量增加威脅情報來源的數量并將它們關聯起來。此外,理解攻擊者的活動有助于預測潛在的威脅。例如:關于新的零日漏洞或新勒索軟件攻擊的情報可以幫助內部團隊及時地采取行動,以防止安全事件的發生。
將兩個環境結合起來理解有助于組織更好地定義其真實風險,同時也可以更有效地確定應該在哪里部署預防和修復措施。組織不需要盲目地對大量漏洞都打上補丁,而是要有針對性地選擇關鍵的漏洞進行修復,這樣才能更有效地降低組織遭到攻擊的風險。
實施基于風險的漏洞管理計劃的五個關鍵步驟
資產識別:識別所有的資產以發現攻擊面。進行一次資產清點掃描可以幫助組織獲得初步的資產信息。然后在內部環境及外部環境上定期進行掃描,并將結果共享到漏洞情報平臺。
上下文化:在漏洞情報平臺中配置組織中的業務背景以及資產的重要程度。隨后,掃描結果將會根據每個資產的特定風險評分進行上下文化處理。
豐富掃描結果:使用漏洞情報平臺提供的附加來源(例如威脅情報和攻擊者活動)來豐富掃描結果,這有助于組織對威脅情況進行優先級排序。
修復:由于每個漏洞都會給出一個相應的風險評分,所以可以將其與威脅情報標準(如“易于利用”、“在野外利用”或“廣泛利用”)相對應起來。這樣可以更輕松有效地確定修復的優先順序。
評估:使用關鍵績效指標(KPI)以及定制的儀表板和報告來監測和衡量漏洞管理程序的進展情況。這是一個持續改進的過程。
基于風險的漏洞管理是一種相對于傳統漏洞管理更加有效的方法,它能夠幫助企業更好地把握自身系統的安全狀況,更好地分配安全資源和優先處理漏洞。然而,它只是一個更廣泛的安全管理框架中的一個環節,僅僅依靠它不夠的。企業還需要在此基礎上建立一個完整的安全生命周期管理框架,將其融入到更為全面的安全管理體系中,以確保組織系統的全面安全。
來源:數世咨詢