高效漏洞管理的八个顶级策略和最佳实践

(原标题：高效漏洞管理的八大顶级策略)

现代漏洞管理计划需要重新定义网络安全目标。通过将一些简单的网络卫生例程纳入您的日常安全例程，您将建立您的IT团队，以更好地抵御网络攻击。

2020年CVE数据库收录了多达18,325个漏洞，但仍然有超过40%的漏洞甚至没有分配CVE编号。毋庸置疑，企业信息基础设施中的开放漏洞正是当下恶意攻击（包括勒索软件）最广泛利用的“盗火线”。

具有讽刺意味的是，虽然许多企业和机构定期开展漏洞评估活动，例如每两周、每月或每季度执行一次扫描，但常规漏洞评估可能需要数月才能完成，最终为攻击者留下了巨大的漏洞利用敞口。显然，漏洞评估是为控制漏洞而发明的常规方法和流程，但低效率的漏洞管理并不能有效保护IT网络。企业安全团队需要评估关键领域，关键组件，并开发一个强大的自动化漏洞管理程序，才能保护网络免受不断增长的攻击面的影响。

以下，GoUpSec整理总结了高效漏洞管理的八个顶级策略和最佳实践，供企业IT决策者和安全主管们参考：

针对网络和端点漏洞的统一方法

当我们谈论漏洞时，我们谈论的往往是网络中可被利用的漏洞。然而，现代攻击者会探索全方位的攻击矢量，无论是破坏关键基础设施的国家黑客，还是希望快速赚取数百万美元的网络犯罪团伙都是如此。如果防御者专注于一个领域而忽视另一个领域很容易造成安全漏洞。

例如，传统的漏洞管理程序只关注远程扫描而忽略端点中的漏洞。随着新冠肺炎大流行带来远程办公常态化，端点如今已成为一个很容易被利用的目标，您的漏洞管理程序应同等重视网络和端点漏洞。许多CISO忽略了软件漏洞，认为它们对其安全性不太重要，但这为攻击者入侵网络打开了大门。企业的漏洞管理程序必须管理IT基础设施中所有分配IP地址的设备的漏洞。

持续和自动化的漏洞评估计划

每天都有大量漏洞被披露，采取定期漏洞评估方法并不能帮助您识别最新的风险——它实际上会让您在构建安全弹性方面落后几个步骤。以攻击者渗透网络的速度，一个微小的间隙就足以执行攻击，企业的漏洞管理过程应该是连续的和持续的，以避免任何不可预见的安全风险。选择自动化漏洞管理例程的解决方案将简化流程并提高效率。

漏洞扫描器的速度和效率

漏洞扫描是漏洞管理流程中最重要的一步。缓慢的漏洞扫描程序会造成延迟、缓慢的业务流程，并成为任何漏洞管理程序的主要陷阱。这些扫描程序会阻碍IT安全团队运行连续扫描。与此同时，漏洞扫描器提供的大量误报使整个流程更加无效。企业选择的漏洞扫描器应该能快速、高效、与企业的网络基础设施兼容，并提供接近于零的误报。

漏洞数据库的广度和全面性

仅根据CVE数据执行漏洞扫描是不准确的，会导致错误报告。漏洞扫描程序必须依赖于对每个漏洞进行深入分析的综合数据库或安全检查库。因此，漏洞数据库在漏洞管理程序中起着至关重要的作用，漏洞数据库的质量决定了企业漏洞评估数据的准确性。考虑使用涵盖网络和端点漏洞的综合漏洞数据库，并定期更新以识别网络中的最新漏洞。

基于风险的漏洞分析

在不了解每个漏洞所具有的风险的情况下随机采取补救措施并不是基于风险的漏洞分析的明智方法。每个IT基础架构都是独一无二的，并且根据对网络、安全令牌和其他元素的访问权限而具有不同的风险级别。企业的漏洞评估应侧重于分析所有漏洞的风险级别，并首先修复最关键的漏洞。风险级别是通过考虑各种因素来计算的，例如威胁情报、漏洞的公开评级、企业资产、当前的漏洞利用活动以及更多特定于组织的因素。

此外，漏洞评估计划还应符合HIPAA、PCI、NIST等监管机构制定的合规性标准。

漏洞评估不仅仅是评估已知漏洞

企业的安全暴露分析不应只评估已知漏洞。错误配置评估、资产暴露分析和监控安全控制偏差等关键活动必须成为IT安全检查清单的一部分。

集成补丁修复

漏洞评估之后，最关键的步骤是修复检测到的漏洞。根据最近的一项研究，60%的漏洞利用涉及补丁可用但未及时应用的漏洞。漏洞修补可帮助安全团队显著减小攻击面并有助于防止攻击。企业的漏洞管理程序应该配备一个集成的补丁管理工具来及时修复漏洞，补丁过程可以保护网络免受一系列潜在攻击。

广泛的报告目录

跟踪和监控漏洞管理流程的操作有助于明确需要采取哪些步骤来调整IT安全策略。富有洞察力的报告将帮助您审查和评估企业的漏洞管理流程，并提供企业网络中漏洞的必要详细信息。企业的漏洞管理计划应提供广泛的报告以供详细研究和分析。

 TIPS ·

牢记这些关键因素将帮助您评估当前的漏洞管理计划，并指导对现有IT战略进行必要的改进。通过实施强大、有弹性、可扩展且自动化的漏洞管理计划，企业将能通过最小化漏洞风险来缓解网络攻击，最终保护企业和客户的信息以及企业的声誉。