企業(yè)安全漏洞管理失敗的三大頑疾
新型冠狀病毒給網(wǎng)絡(luò)安全專業(yè)人員帶來了巨大工作壓力。隨著網(wǎng)絡(luò)安全預(yù)算緊張、遠(yuǎn)程辦公的常態(tài)化,越來越復(fù)雜的威脅形勢已經(jīng)給漏洞管理提出了更加嚴(yán)峻的挑戰(zhàn)。
很多企業(yè)對漏洞管理的定義從一開始就過時了。漏洞管理,絕不僅是掃描企業(yè)網(wǎng)絡(luò)是否存在威脅這么簡單。漏洞管理的整體方法包括識別、報告、評估和確定暴露的優(yōu)先級。至關(guān)重要的是,它還涉及風(fēng)險管理背景。漏洞管理的綜合方法不僅是掃描安全漏洞,還包括展示攻擊者如何利用這些漏洞以及可能發(fā)生的后果。
準(zhǔn)確地說,漏洞管理應(yīng)當(dāng)采用全局方法,要求各方面協(xié)調(diào)工作,以降低關(guān)鍵業(yè)務(wù)資產(chǎn)的風(fēng)險,這也是安全運營團(tuán)隊?wèi)?yīng)該為之奮斗的目標(biāo)。研究發(fā)現(xiàn),企業(yè)安全漏洞管理工作失敗主要有三大原因:
一、管理無序,未進(jìn)行威脅優(yōu)先級排序
無法對威脅進(jìn)行正確優(yōu)先級排序是企業(yè)目前在漏洞管理環(huán)境中面臨的最嚴(yán)重的問題之一。太多企業(yè)通過掃描識別安全漏洞,然后直接進(jìn)入修復(fù)階段。在某種程度上,這種緊迫性是可以理解的。但未能有效地確定優(yōu)先級可能會導(dǎo)致時間和資源的浪費,因為團(tuán)隊競相解決的可能是那些對業(yè)務(wù)關(guān)鍵資產(chǎn)沒有真正風(fēng)險的漏洞。
更糟糕的是,無序的漏洞管理反而會使企業(yè)變得更為脆弱。一個更好的方法是優(yōu)先關(guān)注于已確定的、可以被利用的漏洞風(fēng)險。如果操作正確,這種優(yōu)先級排序可以消除對業(yè)務(wù)敏感的系統(tǒng)99%的風(fēng)險。使用先進(jìn)的攻擊補(bǔ)丁管理解決方案、使用以攻擊為中心的關(guān)鍵風(fēng)險上下文關(guān)聯(lián)方法對漏洞進(jìn)行優(yōu)先級排序,能夠全面顯示漏洞對企業(yè)的真實威脅:每個漏洞被利用的可能性以及每個漏洞對企業(yè)的關(guān)鍵資產(chǎn)構(gòu)成的風(fēng)險。
二、不能堅持,缺乏連續(xù)性管理計劃
有效的漏洞管理計劃應(yīng)該是持續(xù)的,而不是偶發(fā)的。如果企業(yè)不采取持續(xù)的方法,他們將難以控制漏洞的流動并積累大量“漏洞債務(wù)”。跟蹤新涌現(xiàn)的漏洞往往會讓安全團(tuán)隊疲于奔命,而處理不斷積壓的安全問題可能會使安全運營不堪重負(fù)。因此,漏洞管理應(yīng)當(dāng)使用以連續(xù)和自動化漏洞識別為中心的持續(xù)方法,而不是不定期的掃描和修復(fù)。這是企業(yè)持續(xù)改進(jìn)安全態(tài)勢的關(guān)鍵措施之一。
三、溝通不暢,管理團(tuán)隊架構(gòu)不清晰
當(dāng)安全團(tuán)隊沒有明確的溝通渠道和正確的組織結(jié)構(gòu)時,一般都會出現(xiàn)問題。團(tuán)隊成員經(jīng)常沒有明確的角色,他們不了解自己在整體漏洞管理框架中的職責(zé)。當(dāng)團(tuán)隊成員有明確的角色定義和明確的職責(zé)、目標(biāo)時,他們才可以有效地工作和協(xié)作,了解如何將工作與他人的角色和責(zé)任相關(guān)聯(lián),而避免錯過更大的安全圖景。
這種溝通需求也延伸到了最高管理層。鑒于強(qiáng)大的網(wǎng)絡(luò)安全能力已成為一項重要的企業(yè)戰(zhàn)略目標(biāo),公司領(lǐng)導(dǎo)層應(yīng)當(dāng)充分了解安全計劃的重要性。數(shù)據(jù)泄露數(shù)量逐年增加,一次數(shù)據(jù)泄露就可能導(dǎo)致嚴(yán)重的聲譽(yù)和財務(wù)損失,甚至企業(yè)關(guān)門倒閉。漏洞管理已經(jīng)不再只是IT支出的一個分支,它應(yīng)該是一個關(guān)鍵的業(yè)務(wù)目標(biāo)。
為了實現(xiàn)高效漏洞管理,企業(yè)必須意識到漏洞管理應(yīng)該是一個持續(xù)的、多階段的過程。當(dāng)然,在IT部門內(nèi)部,也應(yīng)該刮骨療毒,徹底解決困擾漏洞管理效率的三大頑疾。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
