疫情给信息安全专业人员带来了巨大压力。随着网络安全预算紧张,数以百万计的员工已经全职或兼职转向远程办公,现在越来越复杂的威胁形势对未来提出了更加可怕的挑战。
组织在漏洞管理方面哪里出了问题?
从一开始,太多组织对漏洞管理的含义就已经过时了。不仅仅是扫描您的网络是否存在威胁。
漏洞管理的整体方法包括识别、报告、评估和确定暴露的优先级。至关重要的是,它还涉及风险背景。漏洞管理的综合方法不是仅仅扫描安全漏洞,而是向您展示如何利用这些漏洞以及可能发生的后果。
准确地说,漏洞管理——当正确执行时——采用全局方法,其中所有方面协调工作,以降低关键业务资产的风险。这是我们都应该为之奋斗的目标。
但即使你从正确的首要原则开始,在实施时你仍然可能失败。考虑到这一点,下面我们重点介绍了组织在管理漏洞时面临的三个最重要的问题。
1. 未能正确确定威胁的优先级
无法正确排列暴露是组织目前在漏洞管理环境中面临的最具破坏性的问题之一。太多组织通过扫描识别安全漏洞,然后直接进入修复阶段。在某种程度上,这种紧迫性是可以理解的。然而,归根结底,它是短视的,会带来更大的风险。
聪明的组织将大量注意力集中在漏洞管理的优先级和报告阶段。未能有效地确定优先级可能会导致时间和资源的浪费,因为团队竞相解决对业务关键资产没有真正风险。
更糟糕的是,它使组织以最糟糕的方式变得脆弱。一个更好的方法是专注于可以利用的风险敞口的百分之一。如果操作正确,这种优先级排序可以消除对业务敏感的系统 99% 的风险。
从这种优先排序方法中受益的最佳方式是什么?使用尖端的攻击补丁管理解决方案,使用以攻击为中心的关键风险对暴露进行优先级排序。该工具超越了有限的 CVSS 评分并显示了全貌:每个漏洞被利用的可能性以及每个漏洞对您的“皇冠上的宝石”资产构成的风险。
2. 不使用连续方法
有效的漏洞管理计划是持续的,而不是偶发的。如果企业不采取持续的方法,他们将难以控制漏洞的流动并积累“漏洞债务”。这是一个严重的问题。
鉴于掌握新出现的漏洞已经很困难,处理不断积压的安全问题可能会使整个情况站不住脚。使用以连续和自动化漏洞识别为中心的持续方法,而不是不定期的扫描和修复。这是开发由持续改进定义的安全态势的关键之一。
3. 沟通不畅,组织架构不清晰
当安全团队没有明确的沟通渠道和正确的组织结构时,几乎肯定会出现问题。团队成员经常没有明确的角色,他们不了解自己在整体漏洞管理框架中的位置,尤其是在职责方面。
当团队成员有明确的角色定义和明确的职责时,他们可以有效地工作和协作。每个人都可以努力履行自己的职责并实现他们的特定目标,而不是孤立地工作和错过更大的图景——同时了解他们的工作如何与他人的角色和责任相关联。
这种沟通需求也延伸到了最高管理层。鉴于强大的网络安全已成为一项重要的战略目标,公司领导层了解该计划并对其进行投资非常重要。
主要漏洞管理问题
未能有效管理网络漏洞的后果从未如此严重。一次数据泄露可能导致严重的声誉和财务损失,而且泄露的数量每年都在不断增加,而且没有失败。确实,漏洞管理已经不再只是另一种 IT 支出——它应该是一个关键的业务目标。
为了实现这一点,必须了解漏洞管理应该是一个持续的、多阶段的过程。解决困扰如此多原本聪明的 IT 部门的问题也很重要:优先级不高、管理漏洞的方法不定期以及团队和领导者之间缺乏组织和沟通。
就避免这些陷阱而言,正确的方法可以带来巨大的收益。如上所述,您能做的最好的事情是结合强大的漏洞管理工具,提供适当的优先级指导和关键风险上下文。
一旦您的基本战略是合理的并且您配备了正确的工具,您的企业在保护您最宝贵的资产方面将远远领先于大多数竞争对手。