從使用“發(fā)現(xiàn)的風(fēng)險(xiǎn)”作為關(guān)鍵績(jī)效指標(biāo)，轉(zhuǎn)向使用“補(bǔ)救的風(fēng)險(xiǎn)”作為衡量成功的真正標(biāo)準(zhǔn)，這一變化改變了安全團(tuán)隊(duì)的激勵(lì)機(jī)制，促使他們專注于風(fēng)險(xiǎn)補(bǔ)救。為了在規(guī)模上實(shí)現(xiàn)這一點(diǎn)，企業(yè)必須在降低風(fēng)險(xiǎn)方面擺脫“救火”模式——這意味著他們必須停止追逐最新的關(guān)鍵問(wèn)題--并變得更加積極主動(dòng)。

以下是你可以采取的七個(gè)步驟，將你現(xiàn)有的漏洞和風(fēng)險(xiǎn)管理流程和工作流程從消防轉(zhuǎn)變?yōu)橹鲃?dòng)管理大規(guī)模風(fēng)險(xiǎn)降低。

步驟1：收集-創(chuàng)建一個(gè)積壓工作來(lái)管理所有積壓工作

對(duì)你的安全測(cè)試工具采用基于調(diào)查結(jié)果的方法意味著你的典型補(bǔ)救過(guò)程從登錄到每個(gè)工具的儀表板開始。當(dāng)然，這需要學(xué)習(xí)每個(gè)工具的不同功能，并理解每個(gè)工具的調(diào)查結(jié)果語(yǔ)言。

要過(guò)渡到基于修復(fù)的方法，請(qǐng)從創(chuàng)建單個(gè)待辦事項(xiàng)開始。第一步是將來(lái)自所有測(cè)試工具的所有結(jié)果收集到一個(gè)集中位置，無(wú)論是電子表格、數(shù)據(jù)庫(kù)還是其他系統(tǒng)。

步驟2：整合-標(biāo)準(zhǔn)化、重復(fù)數(shù)據(jù)消除和利用上下文進(jìn)行豐富

現(xiàn)在你有了單一的積壓，向前邁進(jìn)一步，將所有調(diào)查結(jié)果標(biāo)準(zhǔn)化，以便它們使用統(tǒng)一的術(shù)語(yǔ)，從而使你能夠統(tǒng)一地執(zhí)行你的補(bǔ)救流程。畢竟，如果你想衡量結(jié)果，你需要對(duì)所有發(fā)現(xiàn)執(zhí)行相同的過(guò)程。這一標(biāo)準(zhǔn)化的積壓調(diào)查結(jié)果現(xiàn)在是所有后續(xù)活動(dòng)的支柱。

你將看到你現(xiàn)在標(biāo)準(zhǔn)化的列表有重復(fù)的發(fā)現(xiàn)。刪除多余的內(nèi)容以縮短積壓工作的長(zhǎng)度。

標(biāo)準(zhǔn)化列表還使你能夠識(shí)別影響同一資源的不同調(diào)查結(jié)果。在這一點(diǎn)上，你應(yīng)該用所有權(quán)背景來(lái)豐富調(diào)查結(jié)果，這是你未來(lái)需要的。例如，從配置管理數(shù)據(jù)庫(kù)(CMDB)收集元數(shù)據(jù)，以在以后分析誰(shuí)擁有易受攻擊的計(jì)算機(jī)。

步驟3：選擇-決定執(zhí)行什么、誰(shuí)、如何以及在哪里執(zhí)行補(bǔ)救行動(dòng)

所有調(diào)查結(jié)果標(biāo)準(zhǔn)化后，你現(xiàn)在可以選擇如何通過(guò)多維優(yōu)先排序方法進(jìn)行補(bǔ)救，其中包括：

A.內(nèi)容：選擇是要根據(jù)外部上下文(例如，已知的自然漏洞利用)還是根據(jù)內(nèi)部上下文(例如，它所在的域-云、代碼等)來(lái)確定發(fā)現(xiàn)的優(yōu)先級(jí)。

B.誰(shuí)：選擇補(bǔ)救項(xiàng)目的發(fā)送對(duì)象。要確定合適的團(tuán)隊(duì)，請(qǐng)分析你在步驟2中收集的資源元數(shù)據(jù)。

C.如何：通過(guò)圍繞補(bǔ)救行動(dòng)進(jìn)行匯總，確定結(jié)果而不是問(wèn)題的優(yōu)先順序。這意味著，如果你對(duì)不同的資源或不同的問(wèn)題有相同的解決方案，則只會(huì)生成一個(gè)補(bǔ)救項(xiàng)目。

D.在哪里：選擇在哪個(gè)項(xiàng)目下為補(bǔ)救團(tuán)隊(duì)打開工單(例如，在Jira、ServiceNow或修復(fù)者使用的任何其他工單系統(tǒng)中)。

步驟4：路線-將補(bǔ)救項(xiàng)目送到補(bǔ)救團(tuán)隊(duì)手中

既然你知道誰(shuí)將執(zhí)行修復(fù)以及要發(fā)送它們的補(bǔ)救操作列表，你就可以開始發(fā)送它們了。

在這個(gè)階段，你將意識(shí)到你能夠并行地進(jìn)行補(bǔ)救，而不是像今天通常所做的那樣以順序的方式進(jìn)行。

作為一個(gè)簡(jiǎn)單的示例場(chǎng)景，假設(shè)你有兩個(gè)補(bǔ)救團(tuán)隊(duì)，Engineering和DevOps，并且你有150個(gè)關(guān)鍵發(fā)現(xiàn)。接下來(lái)，讓我們假設(shè)前100個(gè)調(diào)查結(jié)果都由Engineering修復(fù)，其余50個(gè)由DevOps修復(fù)。按順序完成列表將意味著工程團(tuán)隊(duì)的修復(fù)程序超負(fù)荷，而DevOps團(tuán)隊(duì)則未得到充分利用。但是，一旦你基于補(bǔ)救操作處理列表，并且你知道將進(jìn)行補(bǔ)救工作的團(tuán)隊(duì)，你就可以并行地補(bǔ)救部分積壓。

步驟5：面向接收的解決方案，而不是依賴于安全

這是使你能夠真正擴(kuò)展的步驟：通過(guò)創(chuàng)建程序化工作流來(lái)自動(dòng)化積壓管理。實(shí)現(xiàn)這一點(diǎn)的關(guān)鍵是與其他企業(yè)流程同步，并在補(bǔ)救團(tuán)隊(duì)需要安全數(shù)據(jù)時(shí)使其可用，而不是在發(fā)現(xiàn)發(fā)現(xiàn)時(shí)提供。

首先，在補(bǔ)救項(xiàng)目和每個(gè)不同的補(bǔ)救團(tuán)隊(duì)使用的票務(wù)系統(tǒng)之間應(yīng)該有一個(gè)工作流程。這樣，當(dāng)發(fā)現(xiàn)問(wèn)題時(shí)，票證將自動(dòng)打開并定向到正確的團(tuán)隊(duì)，如步驟3中所定義。你甚至可以更進(jìn)一步，為每個(gè)票務(wù)系統(tǒng)創(chuàng)建統(tǒng)一的模板。

你的自動(dòng)化工作流程應(yīng)該是雙向的，以便在票務(wù)系統(tǒng)中關(guān)閉票證時(shí)，你可以使用下一次測(cè)試掃描的結(jié)果進(jìn)行驗(yàn)證。如果發(fā)現(xiàn)任何差異，請(qǐng)通過(guò)在補(bǔ)救團(tuán)隊(duì)的工作流工具中重新打開帶有相關(guān)詳細(xì)信息的票據(jù)來(lái)突出顯示它。

步驟6：補(bǔ)救-完成艱苦工作的地方

這是為補(bǔ)救安全問(wèn)題而進(jìn)行的實(shí)際修復(fù)、緩解或風(fēng)險(xiǎn)接受。這是補(bǔ)救過(guò)程中的關(guān)鍵部分，但作為安全團(tuán)隊(duì)，它不在你的直接控制范圍之內(nèi)。

步驟7：報(bào)告-衡量實(shí)際績(jī)效、效率和風(fēng)險(xiǎn)降低

擁有將補(bǔ)救操作發(fā)送給正確的補(bǔ)救團(tuán)隊(duì)的自動(dòng)路由流程，使你可以立即查看整個(gè)積壓及其狀態(tài)，而不僅僅是它是否得到了補(bǔ)救。這使你能夠跟蹤和衡量你的風(fēng)險(xiǎn)降低過(guò)程。

有了這些數(shù)據(jù)，你可以衡量績(jī)效，還可以比較企業(yè)內(nèi)不同團(tuán)隊(duì)或組之間的補(bǔ)救績(jī)效。例如，你可以分析和比較不同的應(yīng)用程序在關(guān)鍵發(fā)現(xiàn)、總發(fā)現(xiàn)以及團(tuán)隊(duì)如何處理他們的罰單方面。

你現(xiàn)在還可以向利益相關(guān)者提供有關(guān)企業(yè)補(bǔ)救計(jì)劃的報(bào)告，使每個(gè)人都能夠了解該計(jì)劃的節(jié)奏和性能，以及統(tǒng)計(jì)數(shù)據(jù)，如新發(fā)現(xiàn)與已解決發(fā)現(xiàn)的比率、補(bǔ)救的平均時(shí)間和總體積壓狀態(tài)。

這種跟蹤使你能夠識(shí)別補(bǔ)救流程本身中的任何問(wèn)題，并為安全團(tuán)隊(duì)提供數(shù)據(jù)，他們可以使用這些數(shù)據(jù)與相應(yīng)的補(bǔ)救團(tuán)隊(duì)更緊密地協(xié)作，以增強(qiáng)其流程并解決任何需要改進(jìn)的領(lǐng)域。

正是這種從產(chǎn)出轉(zhuǎn)移到結(jié)果的方法，應(yīng)該在消除安全成為補(bǔ)救過(guò)程中的瓶頸并使過(guò)程能夠擴(kuò)展方面發(fā)揮帶頭作用。