信息來源:安全牛
漏洞管理 (VM) 似乎無處不在��,你隨便抓住一個企業(yè) IT 人士詢問是否實施了漏洞管理����,絕大多數(shù)人都會給你肯定的答復(fù)�。
聽上去是似乎大家的 IT 系統(tǒng)都已經(jīng)千針萬線,嚴(yán)絲合縫���,連一只蒼蠅都飛不進(jìn)去,但實際上呢��?一下雨就是鍋碗瓢盆交響樂����。
事實上,所謂的漏洞管理存在著各種各樣的實現(xiàn)方式,從定期的滲透測試到全面的企業(yè)漏洞管理�,任何一個疏漏都可能滿盤皆輸。人們常掛在嘴邊的脆弱性風(fēng)險問題�����,幾乎從未得到真正解決�����。在安全牛對國內(nèi) 200 位 CSO 讀者的調(diào)查中���,有 26% 的受訪者表示由于未及時修補(bǔ)漏洞而蒙受了安全損失。
正是由于企業(yè)漏洞管理水平無法趕上不斷增長的漏洞威脅�����,漏洞管理市場近年來正在穩(wěn)步增長��,大量企業(yè)都準(zhǔn)備或者已經(jīng)在升級或替換現(xiàn)有工具��。
但是對于企業(yè) CSO 和 CIO 來說�,在投資或者選擇新的漏洞管理或脆弱性風(fēng)險管理相關(guān)工具產(chǎn)品和方案之前��,都首先需要明確一點����,你如何判斷漏洞管理項目的有效性?如何成功實施漏洞管理項目���?很多時候����,漏洞管理不是一個技術(shù)問題而是一個管理問題�����,更準(zhǔn)確點說��,是一個企業(yè)的 “衛(wèi)生習(xí)慣”�,以下安全??偨Y(jié)了七個高效漏洞管理的好習(xí)慣:
1、贏得高層支持
高層的態(tài)度對于漏洞管理項目來說意義重大�,但是讓高層心悅誠服而不是將信將疑地說 “支持” 其結(jié)果有著天壤之別。具體來說�,你的項目計劃能贏得領(lǐng)導(dǎo)多大程度的支持,很大一部分取決于你的表達(dá)能力和項目本身效果的“可視化”程度�。如果成敗的價值差異或者嚴(yán)重程度不足以打動領(lǐng)導(dǎo),那么你的預(yù)算自然也是可有可無����。
2、以資產(chǎn)發(fā)現(xiàn)為基本點
對漏洞管理范圍的任何限制都會增加可見性風(fēng)險����。因此,必須將資產(chǎn)發(fā)現(xiàn)作為任何漏洞管理程序的核心組件��。如果漏洞管理項目未能覆蓋某些資產(chǎn)或特定業(yè)務(wù)領(lǐng)域��,那么它在降低風(fēng)險方面的效用也會大打折扣����,因為您無法消除未知風(fēng)險����。同樣,如果資產(chǎn)發(fā)現(xiàn)不是連續(xù)或者高頻的��,也會存在過時或失真風(fēng)險����。
3����、高頻掃描
高頻掃描聽上去有點像 “連續(xù)掃描”,給人不妙的感覺?���,F(xiàn)實情況是,進(jìn)行高頻率掃描的原因一般兩個:首先是為了配合補(bǔ)救工作���,其次是為了捕捉風(fēng)險畫像中的重要變化(例如�,發(fā)現(xiàn)新的高風(fēng)險漏洞)���。
但有一點需要明確���,掃描頻率不是越高越好,而應(yīng)該是合理的����。頻率的設(shè)定需要與兩個目標(biāo)關(guān)聯(lián)在一起:首先,如果你的修復(fù)節(jié)奏是每月一次�����,那么每天掃描也無助于改善結(jié)果。但是��,如果您的變更管理不夠充分��,那么可以考慮通過更頻繁地掃描來降低某些風(fēng)險����。理想的狀態(tài)是掃描頻率與修復(fù)節(jié)奏同步����,而且在變更時能夠自動執(zhí)行掃描。
4�����、融入業(yè)務(wù)環(huán)境
武無第一�����,同理漏洞風(fēng)險也不是極限運動�����,如果你把布局重點放在一些絕對的風(fēng)險上�����,忽略了業(yè)務(wù)環(huán)境和需求��,那么你反而可能 “抓大放小”���,漏掉了正真危險的,業(yè)務(wù)桌面上的 “小” 風(fēng)險�。高效漏洞管理的修復(fù)工作優(yōu)先級,需要將漏洞放在業(yè)務(wù)環(huán)境和系統(tǒng)環(huán)境進(jìn)行考量�。說白了�����,就是要首先處理具有更高價值和更高業(yè)務(wù)風(fēng)險的資產(chǎn)���。
5�����、例外不是借口
您無法管理自己不知道的風(fēng)險����,通過掃描創(chuàng)建例外會帶來很多未知風(fēng)險。在環(huán)境中很可能存在無法掃描的設(shè)備���,它們往往是一些稀疏分布的老舊設(shè)備。但這些 “犄角旮旯” 的例外并不能成為例外的理由���,一臺靠近窗戶的老掉牙的復(fù)印機(jī)能有多大風(fēng)險��?只有那些積極主動測繪并完善防護(hù)面的企業(yè)才能防患于未然�����,在漏洞管理方面表現(xiàn)出色�����。
6�����、指標(biāo)化管理
三人成虎的恐慌銷售策略 (FUD) 是網(wǎng)絡(luò)安全行業(yè)多年來的標(biāo)準(zhǔn)操作,但是有效的漏洞管理項目可不能建立在 FUD 戰(zhàn)術(shù)之上�,而是應(yīng)該基于指標(biāo)。只有把 “好” 給指標(biāo)化了,你才能有效評估工作�����,找出工作的不足之處��。
7�、漏洞修復(fù)重在流程整合
查找和評估漏洞風(fēng)險的目的并不是出一個漂亮的報告。關(guān)鍵是要制定更好的風(fēng)險緩解決策��,關(guān)鍵是要采取行動解決問題�,交付結(jié)果��。有效的漏洞管理必須結(jié)合有效的補(bǔ)救措施����。很遺憾,沒有漏洞評估工具會自動執(zhí)行補(bǔ)救操作��。你必須將有效的漏洞管理程序與補(bǔ)救工作流集成在一起���,才能有效推動企業(yè)的漏洞管理水平�,但難點是企業(yè)內(nèi)部工作流往往數(shù)量眾多��,集成存在相當(dāng)���。
你需要首先 “摸底” 再 “撈底”�,搞清楚企業(yè)的業(yè)務(wù)流程和不同部門的工作方式�����,然后找出將補(bǔ)救工作整合到流程中的方法����。
市場已經(jīng)有大量的漏洞評估產(chǎn)品,但是有效的漏洞管理卻依然存在很大的改進(jìn)空間�����。以上這七個原則���,也許不一定能夠讓你 “七步成詩”,但如果能給你的工作帶來一些新的思路和啟發(fā)���,也就足矣�。
