您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
針對痛點修復(fù): 2023年有效的漏洞管理
最近發(fā)布的 Security Navigator 報告數(shù)據(jù)顯示,企業(yè)仍需要大約215天來修復(fù)一個報告的漏洞。即便是關(guān)鍵漏洞,通常也需要6個月以上的時間來修復(fù)。
良好的漏洞管理,并不在于修復(fù)漏洞方面的速度。它更在于通過漏洞優(yōu)先級來將重心放在真正要緊的漏洞上,從而減少公司的攻擊面。公司的數(shù)據(jù)和威脅情報之間需要具有相關(guān)性以及自動化能力。這有助于內(nèi)部團隊能夠集中精力進行補救工作。合適的技術(shù)可以形成一個全球漏洞智能平臺。該類平臺可以使用風(fēng)險評分來幫助對漏洞進行優(yōu)先級排序,從而使企業(yè)專注于其真正關(guān)鍵的組織風(fēng)險。
引言
在建立一個有效的漏洞管理程序之前,要牢記一些事實:
1、每年新檢測出的漏洞數(shù)量正不斷增加。如今平均每天都能發(fā)現(xiàn)50個新漏洞??上攵?,要全部的漏洞是幾乎不現(xiàn)實的。
2、在所發(fā)現(xiàn)的全部漏洞中,僅有一部分能夠?qū)λ薪M織產(chǎn)生大范圍的影響,而這些漏洞才算是能夠被有效利用。數(shù)據(jù)顯示,僅有大約6%的漏洞曾在野外被利用。所以,我們所需要的是減輕漏洞管理的負擔(dān),專注于真正的威脅。
3、即使是同一個漏洞,對于不同公司的業(yè)務(wù)和基礎(chǔ)設(shè)施也會產(chǎn)生完全不同的影響。因此,組織需要同時考慮業(yè)務(wù)的暴露程度和漏洞的嚴(yán)重性?;谶@些事實,我們就可以明白,沒有必要修復(fù)所有的漏洞。相反,我們更應(yīng)該關(guān)注那些對威脅環(huán)境以及組織內(nèi)部情況具有針對性的真正威脅。
基于風(fēng)險的漏洞管理概念
此概念指的是重點關(guān)注最關(guān)鍵的資產(chǎn)以及攻擊者所針對的高風(fēng)險資產(chǎn)。為了處理基于風(fēng)險的漏洞管理程序,我們需要考慮兩個環(huán)境。
內(nèi)部環(huán)境
客戶的環(huán)境代表內(nèi)部環(huán)境。隨著公司網(wǎng)絡(luò)的持續(xù)增長和多樣化發(fā)展,其攻擊面也不斷擴張。攻擊面代表著黑客所能接觸到信息系統(tǒng)的所有組件。了解自己信息系統(tǒng)和攻擊面的情況是保護公司安全的第一步,這需要清晰并及時地掌握相關(guān)信息。同時,考慮業(yè)務(wù)環(huán)境也很重要。公司可以因其業(yè)務(wù)領(lǐng)域中所擁有的特定數(shù)據(jù)和文檔(知識產(chǎn)權(quán)、機密國防等)而成為更大的目標(biāo)。最后一個需要考慮的關(guān)鍵因素是公司的獨特背景。目的是根據(jù)其關(guān)鍵性來對資產(chǎn)進行分類,并突出最重要的資產(chǎn)。例如,資產(chǎn)的可用性若遭到破壞,業(yè)務(wù)的持續(xù)性將面臨嚴(yán)重的中斷;或者說如果高度機密的資產(chǎn)被非法訪問,那么公司將會面臨相應(yīng)的法律訴訟。
外部環(huán)境
威脅環(huán)境代表外部環(huán)境。此數(shù)據(jù)無法通過內(nèi)部網(wǎng)絡(luò)訪問。組織需要花費人力和財力來查找并管理這些信息。另外,這項工作也可以外包給專業(yè)人員,由他們來監(jiān)控威脅環(huán)境,從而維護組織的利益 。
同時,了解那些被實際利用的漏洞也是十分必要的,因為它們會對公司構(gòu)成更高的風(fēng)險。這些被實際利用的漏洞可以通過威脅情報能力,結(jié)合漏洞數(shù)據(jù)來進行跟蹤。為了取得最有效的成果,要盡量增加威脅情報來源的數(shù)量并將它們關(guān)聯(lián)起來。此外,理解攻擊者的活動有助于預(yù)測潛在的威脅。例如:關(guān)于新的零日漏洞或新勒索軟件攻擊的情報可以幫助內(nèi)部團隊及時地采取行動,以防止安全事件的發(fā)生。
將兩個環(huán)境結(jié)合起來理解有助于組織更好地定義其真實風(fēng)險,同時也可以更有效地確定應(yīng)該在哪里部署預(yù)防和修復(fù)措施。組織不需要盲目地對大量漏洞都打上補丁,而是要有針對性地選擇關(guān)鍵的漏洞進行修復(fù),這樣才能更有效地降低組織遭到攻擊的風(fēng)險。
實施基于風(fēng)險的漏洞管理計劃的五個關(guān)鍵步驟
資產(chǎn)識別:識別所有的資產(chǎn)以發(fā)現(xiàn)攻擊面。進行一次資產(chǎn)清點掃描可以幫助組織獲得初步的資產(chǎn)信息。然后在內(nèi)部環(huán)境及外部環(huán)境上定期進行掃描,并將結(jié)果共享到漏洞情報平臺。
上下文化:在漏洞情報平臺中配置組織中的業(yè)務(wù)背景以及資產(chǎn)的重要程度。隨后,掃描結(jié)果將會根據(jù)每個資產(chǎn)的特定風(fēng)險評分進行上下文化處理。
豐富掃描結(jié)果:使用漏洞情報平臺提供的附加來源(例如威脅情報和攻擊者活動)來豐富掃描結(jié)果,這有助于組織對威脅情況進行優(yōu)先級排序。
修復(fù):由于每個漏洞都會給出一個相應(yīng)的風(fēng)險評分,所以可以將其與威脅情報標(biāo)準(zhǔn)(如“易于利用”、“在野外利用”或“廣泛利用”)相對應(yīng)起來。這樣可以更輕松有效地確定修復(fù)的優(yōu)先順序。
評估:使用關(guān)鍵績效指標(biāo)(KPI)以及定制的儀表板和報告來監(jiān)測和衡量漏洞管理程序的進展情況。這是一個持續(xù)改進的過程。
原文來源:數(shù)世咨詢