很多企业对漏洞管理的定义从一开始就过时了。漏洞管理,绝不仅是扫描企业网络是否存在威胁这么简单。漏洞管理的整体方法包括识别、报告、评估和确定暴露的优先级。至关重要的是,它还涉及风险管理背景。漏洞管理的综合方法不仅是扫描安全漏洞,还包括展示攻击者如何利用这些漏洞以及可能发生的后果。
准确地说,漏洞管理应当采用全局方法,要求各方面协调工作,以降低关键业务资产的风险,这也是安全运营团队应该为之奋斗的目标。研究发现,企业安全漏洞管理工作失败主要有三大原因:
一、管理无序,未进行威胁优先级排序
无法对威胁进行正确优先级排序是企业目前在漏洞管理环境中面临的最严重的问题之一。太多企业通过扫描识别安全漏洞,然后直接进入修复阶段。在某种程度上,这种紧迫性是可以理解的。但未能有效地确定优先级可能会导致时间和资源的浪费,因为团队竞相解决的可能是那些对业务关键资产没有真正风险的漏洞。
更糟糕的是,无序的漏洞管理反而会使企业变得更为脆弱。一个更好的方法是优先关注于已确定的、可以被利用的漏洞风险。如果操作正确,这种优先级排序可以消除对业务敏感的系统99%的风险。使用先进的攻击补丁管理解决方案、使用以攻击为中心的关键风险上下文关联方法对漏洞进行优先级排序,能够全面显示漏洞对企业的真实威胁:每个漏洞被利用的可能性以及每个漏洞对企业的关键资产构成的风险。
二、不能坚持,缺乏连续性管理计划
有效的漏洞管理计划应该是持续的,而不是偶发的。如果企业不采取持续的方法,他们将难以控制漏洞的流动并积累大量“漏洞债务”。跟踪新涌现的漏洞往往会让安全团队疲于奔命,而处理不断积压的安全问题可能会使安全运营不堪重负。因此,漏洞管理应当使用以连续和自动化漏洞识别为中心的持续方法,而不是不定期的扫描和修复。这是企业持续改进安全态势的关键措施之一。
三、沟通不畅,管理团队架构不清晰
当安全团队没有明确的沟通渠道和正确的组织结构时,一般都会出现问题。团队成员经常没有明确的角色,他们不了解自己在整体漏洞管理框架中的职责。当团队成员有明确的角色定义和明确的职责、目标时,他们才可以有效地工作和协作,了解如何将工作与他人的角色和责任相关联,而避免错过更大的安全图景。
这种沟通需求也延伸到了最高管理层。鉴于强大的网络安全能力已成为一项重要的企业战略目标,公司领导层应当充分了解安全计划的重要性。数据泄露数量逐年增加,一次数据泄露就可能导致严重的声誉和财务损失,甚至企业关门倒闭。漏洞管理已经不再只是IT支出的一个分支,它应该是一个关键的业务目标。
为了实现高效漏洞管理,企业必须意识到漏洞管理应该是一个持续的、多阶段的过程。当然,在IT部门内部,也应该刮骨疗毒,彻底解决困扰漏洞管理效率的三大顽疾。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】