企業安全漏洞管理失敗的三大頑疾
責編:gltian |2021-09-06 09:47:06
新型冠狀病毒給網絡安全專業人員帶來了巨大工作壓力。隨著網絡安全預算緊張、遠程辦公的常態化,越來越復雜的威脅形勢已經給漏洞管理提出了更加嚴峻的挑戰。
很多企業對漏洞管理的定義從一開始就過時了。漏洞管理,絕不僅是掃描企業網絡是否存在威脅這么簡單。漏洞管理的整體方法包括識別、報告、評估和確定暴露的優先級。至關重要的是,它還涉及風險管理背景。漏洞管理的綜合方法不僅是掃描安全漏洞,還包括展示攻擊者如何利用這些漏洞以及可能發生的后果。
準確地說,漏洞管理應當采用全局方法,要求各方面協調工作,以降低關鍵業務資產的風險,這也是安全運營團隊應該為之奮斗的目標。研究發現,企業安全漏洞管理工作失敗主要有三大原因:
一、管理無序,未進行威脅優先級排序
無法對威脅進行正確優先級排序是企業目前在漏洞管理環境中面臨的最嚴重的問題之一。太多企業通過掃描識別安全漏洞,然后直接進入修復階段。在某種程度上,這種緊迫性是可以理解的。但未能有效地確定優先級可能會導致時間和資源的浪費,因為團隊競相解決的可能是那些對業務關鍵資產沒有真正風險的漏洞。
更糟糕的是,無序的漏洞管理反而會使企業變得更為脆弱。一個更好的方法是優先關注于已確定的、可以被利用的漏洞風險。如果操作正確,這種優先級排序可以消除對業務敏感的系統99%的風險。使用先進的攻擊補丁管理解決方案、使用以攻擊為中心的關鍵風險上下文關聯方法對漏洞進行優先級排序,能夠全面顯示漏洞對企業的真實威脅:每個漏洞被利用的可能性以及每個漏洞對企業的關鍵資產構成的風險。
二、不能堅持,缺乏連續性管理計劃
有效的漏洞管理計劃應該是持續的,而不是偶發的。如果企業不采取持續的方法,他們將難以控制漏洞的流動并積累大量“漏洞債務”。跟蹤新涌現的漏洞往往會讓安全團隊疲于奔命,而處理不斷積壓的安全問題可能會使安全運營不堪重負。因此,漏洞管理應當使用以連續和自動化漏洞識別為中心的持續方法,而不是不定期的掃描和修復。這是企業持續改進安全態勢的關鍵措施之一。
三、溝通不暢,管理團隊架構不清晰
當安全團隊沒有明確的溝通渠道和正確的組織結構時,一般都會出現問題。團隊成員經常沒有明確的角色,他們不了解自己在整體漏洞管理框架中的職責。當團隊成員有明確的角色定義和明確的職責、目標時,他們才可以有效地工作和協作,了解如何將工作與他人的角色和責任相關聯,而避免錯過更大的安全圖景。
這種溝通需求也延伸到了最高管理層。鑒于強大的網絡安全能力已成為一項重要的企業戰略目標,公司領導層應當充分了解安全計劃的重要性。數據泄露數量逐年增加,一次數據泄露就可能導致嚴重的聲譽和財務損失,甚至企業關門倒閉。漏洞管理已經不再只是IT支出的一個分支,它應該是一個關鍵的業務目標。
為了實現高效漏洞管理,企業必須意識到漏洞管理應該是一個持續的、多階段的過程。當然,在IT部門內部,也應該刮骨療毒,徹底解決困擾漏洞管理效率的三大頑疾。
來源:安全牛