有效管理安全漏洞的8个最佳实践

首席信息安全官要向企业员工宣传掌握安全基础的必要性，他们在努力建立一个稳健的漏洞管理计划。其计划可能会因需要关注的漏洞数量、解决漏洞所需的速度或有效所需的资源而受到阻碍。

例如，考虑一下安全团队在解决Log4j漏洞方面所面临的挑战。由经过认证的网络安全专业人员组成的非营利性协会(ISC)²最近的一项调查发现，52%的受访者花费数周或一个月以上的时间来修复Log4j漏洞。 

诚然，Log4j漏洞的影响范围很大，但安全专家表示，这一数字以及其他研究和他们自己的调查表明，许多企业仍在完善他们用来识别、确定优先级和修复软件中的安全问题的流程。 

以下一些最佳实践有助于构建高效的漏洞管理计划： 

(1)了解自己的环境 

安全专家强调，首席信息安全官需要准确了解他们需要保护的技术环境;这有助于他们了解他们的技术堆栈中是否存在已知和新发现的漏洞。 

然而，这说起来容易做起来难。网络安全培训机构SANS Institute公司的认证讲师、安全技术商Scythe公司的首席技术官以及C2 Matrix项目的共同创建者Jorge Orchiles说，“每个人都说他们有安全措施，但通常需要更深入一点。他们不知道幕后发生了什么。这仍然是最大的挑战。” 

他说，已经看到成熟的安全操作占其环境的主要组成部分，但却忽略了较小的元素和代码本身，这种疏忽可能留下了未修补的关键漏洞。 

Orchiles建议网络安全领导者确保他们拥有技术环境的详细记录，其中包括编程库等所有组件(事实证明，这些组件对于修补Log4j漏洞的企业至关重要)。此外，每当推出一个新系统时，首席信息安全官带来的团队必须不断地更新该记录。 

(2)制定一个真正的计划(不仅仅是临时工作) 

扫描漏洞并修复出现的任何漏洞似乎足够了，但安全专家表示，临时方法既低效又不充分。例如，安全团队花费宝贵的时间修补对其企业构成有限威胁的漏洞，而不是优先考虑高风险问题。或者他们忙于完成其他项目并推迟漏洞管理工作，直到他们有空闲的时间。 

TCE Strategy公司首席执行官Bryce Austin表示，为了防止这种情况发生，首席信息安全官应该采用程序化方法进行漏洞管理，该方法结合了企业对风险的容忍度以及确定优先级、补救和缓解已识别漏洞的流程。 

该计划还应确定企业执行漏洞扫描的频率，并应包括与供应商补丁发布日期相关的时间表。 

咨询机构Protiviti公司的技术风险、IT审计和网络安全服务董事总经理兼ISACA纽约大都会分会主席Farid Abdelkader补充说，一个良好的漏洞管理计划应该有明确的流程和政策、特许团队和治理。 

Abdelkader还建议首席信息安全官使用可以显示其执行情况的关键绩效指标，来确定良好的外观，确定需要改进的领域，然后指示随着时间的推移取得的进展。 

《足够安全吗?面向企业主和高管的20个网络安全问题》一文的作者Austin表示，拥有成熟漏洞管理计划的企业有一个向企业高管报告其活动的流程，以便他们了解该计划的重要性及其跟踪记录。他指出，这有助于确保进行有效的监督，并将漏洞管理与企业内部的任何其他业务风险一样对待。 

(3)根据企业自身的风险进行定制 

企业需要不断发现新的漏洞，再加上现有已知漏洞，几乎不可能修复这些问题。Abdelkader说，企业找到一种方法来查明最重要的漏洞并确定修复工作的优先顺序是至关重要的。 

Abdelkader说，“企业了解事件的严重性。询问如果出现漏洞怎么办?这对数据有何影响?或者如果系统出现故障?这会对企业的业务、客户或声誉产生什么样的影响?企业需要了解这些资产的真正风险以及这些事情发生的实际风险。” 

这项工作可以由漏洞扫描、供应商和其他安全渠道提供的分类(高、中、低)指导，但该过程应考虑企业对风险的容忍度、技术环境、行业等。 

他解释说，“它必须与企业、关键资产和资源、数据、计算机或系统对关键威胁的暴露程度有关。” 

他指出，作为一个孤立的系统，所面临的风险与当前的系统不同;因此，每个人都应该获得与自身风险相对应的不同级别的补救优先级。 

不过他补充说，这种基于企业自身风险状况的定制和优先排序并不总是会发生。他说，“我看到很多漏洞管理项目都是从一个列表开始的，该列表列出了漏洞扫描发现的内容，以及对企业实际存在的关键风险，以及真正关心的问题。” 

(4)重新审视风险和优先事项 

提高企业的风险承受能力，并建立工作优先顺序的流程，对于强大的脆弱性管理计划都至关重要。但这些任务不能被视为一项已完成的任务。 

Austin补充说，他们应该至少每年都重新访问一次，也可以在企业内部或IT环境发生重大变化时访问。 

(5)使用框架和系统 

MITRE Engenuity技术基金会威胁情报防御研究与开发中心的联合创始人兼代理主任Jon Baker表示，企业无需自己独立开发技术来帮助完成漏洞管理任务，因为很多企业已经开发了框架和其他系统来帮助首席信息安全官进行管理。 

Bake说，“这些框架和系统可以帮助企业查看安全漏洞，并了解网络攻击者如何使用它们的方法，因此可以使用框架和系统来确定漏洞和其响应的优先级。” 

MITRE Engenuity技术基金会拥有其通用漏洞和暴露(CVE)系统，该系统自1999年以来一直提供有关公开已知漏洞和暴露的信息(正如其名称所述)，并具有与这些漏洞相关联的特定代码库版本。还有NIST特别出版物800-30，企业可以使用它来进行风险评估。 

此外，还有通用漏洞评分系统(CVSS)，这是一个开放框架，企业可以使用它来评估安全漏洞的严重性，以便可以根据威胁级别对它们进行优先级排序。 

MITRE Engenuity技术基金会还拥有其ATT&CK框架(利用CVE)，企业可以使用该框架来确定需要他们注意的漏洞的优先级，作为全面的威胁知情防御策略的一部分。 

(6)考虑直接供应商、第三方引入的漏洞 

Log4j漏洞之所以如此成问题，部分原因是Log4J工具如此普遍，存在于企业IT团队和软件供应商开发的众多应用程序中。 

Baker说，Log4j漏洞于2021年底浮出水面，这也表明，首席信息安全官需要了解、评估、优先考虑和缓解供应商产品中存在的或由第三方引入的漏洞。 

他承认，企业安全团队在这方面遇到了挑战，因为企业安全部门往往不知道供应商解决方案中存在哪些漏洞，甚至可能无法在这些系统上运行漏洞扫描。 

他说，“对于我们所依赖的系统所利用的代码和工具，我们确实缺乏透明度。”他指出，软件材料清单(SBOM)是软件中的组件列表，在某些情况下可以提供一些可见性。 

Baker建议，首席信息安全官审查他们与供应商就在管理其产品中的漏洞方面的角色达成的协议，然后在必要时寻求插入合同语言，以限制错误被忽视或未修复的可能性。 

他说，“这是企业的漏洞管理计划的一部分：了解提供商和第三方如何跟踪、确定优先级和修补漏洞。” 

(7)建立制衡机制 

另一个最佳实践是：不要将漏洞管理分配给IT团队。安全专家表示，首席信息安全官应该有一个专门的个人或团队，负责识别漏洞、确定修复的优先级，以及监督补救和缓解措施的执行。 

Austin说，“他们需要有人对进行实际修补的团队保持健康的关系，因为对于那些通过进行更多修补而使工作变得更加困难的基础设施人员来说，对漏洞扫描进行严格的检查变得更难。任何自我监督职能都非常容易受到冷漠或腐败的影响。因此需要制衡。” 

很多人对此表示认同，并指出首席信息安全官可以选择托管安全服务提供商(MSSP)来运行其漏洞管理程序，然后与内部基础设施、工程和/或devops团队合作执行补丁，并处理任何所需的停机时间和所需的测试。 

(8)投资工具和团队 

安全专家强调，有效的漏洞管理与安全领域的其他所有工作一样，需要合适的人员、流程和技术。 

他们指出，许多企业都有所有这些部分，但并不总是让这三个部分有效地协同工作。Baker表示，安全团队通常拥有扫描工具，但可能没有引入有效处理工作负载所需的自动化， 

此外，Orchiles表示，首席信息安全官和他们所在的公司必须承诺提供使这些团队成功所需的资源。 

他指出，投资工具和团队可能看起来很直观，但并不总是遵循这样的建议。例如，看到首席信息安全官投资于一种新工具，但没有投资运行该技术所需的员工、最大限度地利用技术所需的培训以及所需的变更管理。 

他补充说，“如果没有这些，工具将无法工作。”