沒有正確的衡量標(biāo)準(zhǔn)，漏洞管理就毫無意義。如果你沒有測試，你怎么知道它起作用呢?那么，你怎么知道該專注于什么呢?這份清單可能是沒完沒了的，而且很難知道什么才是真正重要的。

在本文中，我們將幫助你確定跟蹤漏洞管理計(jì)劃狀態(tài)并創(chuàng)建審計(jì)就緒報(bào)告所需的關(guān)鍵指標(biāo)，其中包括：

• 證明你的安全狀態(tài)
• 滿足漏洞補(bǔ)救SLA和基準(zhǔn)
• 幫助通過審核和合規(guī)
• 展示安全工具的投資回報(bào)
• 簡化風(fēng)險(xiǎn)分析
• 確定資源分配的優(yōu)先順序

為什么漏洞管理需要衡量標(biāo)準(zhǔn)

通過測試查找、區(qū)分優(yōu)先級和修復(fù)漏洞的速度，企業(yè)可以持續(xù)監(jiān)控和優(yōu)化企業(yè)網(wǎng)絡(luò)的安全性。有了正確的衡量標(biāo)準(zhǔn)，你可以確定哪些問題是關(guān)鍵問題，確定優(yōu)先解決哪些問題，并衡量你的績效。歸根結(jié)底，正確的指標(biāo)使你能夠做出適當(dāng)?shù)闹闆Q策。

智能優(yōu)先級排序

沒有優(yōu)先順序和建議，你從哪里開始呢?對最關(guān)鍵的漏洞進(jìn)行優(yōu)先級排序和修復(fù)比簡單地找到每個(gè)漏洞更重要。

智能優(yōu)先排序和過濾噪音非常重要，因?yàn)楫?dāng)你被非必要的信息淹沒時(shí)，忽略真正的安全威脅太容易了。智能結(jié)果可以優(yōu)先處理對你的安全有實(shí)際影響的問題，而不會給你帶來不相關(guān)的結(jié)果負(fù)擔(dān)，從而使你的工作更輕松。

對使你的面向互聯(lián)網(wǎng)的系統(tǒng)暴露的問題進(jìn)行優(yōu)先排序，可以最大限度地減少你的攻擊面。入侵者通過解釋風(fēng)險(xiǎn)并提供可行的補(bǔ)救建議，使漏洞管理變得容易。

是時(shí)候解決問題了

你希望能夠盡快解決問題。尤其是在攻擊者發(fā)現(xiàn)和利用漏洞之間的平均時(shí)間只有12天的情況下。入侵者解釋來自各種掃描儀的輸出，并根據(jù)上下文確定結(jié)果的優(yōu)先順序，從而節(jié)省你專注于真正重要的事情的時(shí)間。修復(fù)問題需要多長時(shí)間取決于你自己，這會給你一個(gè)關(guān)于你的“網(wǎng)絡(luò)衛(wèi)生”的最新快照--掃描覆蓋范圍，六個(gè)月內(nèi)修復(fù)問題所需的時(shí)間，以及整體修復(fù)問題的平均時(shí)間。

每個(gè)漏洞管理計(jì)劃的3個(gè)頂級指標(biāo)

掃描覆蓋范圍

你在追蹤和掃描什么?掃描覆蓋范圍包括你要覆蓋的所有資產(chǎn)以及對所有業(yè)務(wù)關(guān)鍵型資產(chǎn)和應(yīng)用程序的分析，以及提供的身份驗(yàn)證類型(例如，基于用戶名和密碼的身份驗(yàn)證或未經(jīng)身份驗(yàn)證的身份驗(yàn)證)。

平均修復(fù)時(shí)間

你的團(tuán)隊(duì)修復(fù)你的關(guān)鍵漏洞所花費(fèi)的時(shí)間顯示了你的團(tuán)隊(duì)在對任何報(bào)告的漏洞做出反應(yīng)時(shí)的響應(yīng)程度。這一比例應(yīng)始終較低，因?yàn)榘踩珗F(tuán)隊(duì)負(fù)責(zé)解決問題，并向管理層傳遞補(bǔ)救信息和行動計(jì)劃。

風(fēng)險(xiǎn)分值

每個(gè)問題的嚴(yán)重性由你的掃描儀自動計(jì)算，通常為嚴(yán)重、高或中等。如果你決定不在指定時(shí)間段內(nèi)修補(bǔ)特定或一組漏洞，這是對風(fēng)險(xiǎn)的接受。對于入侵者，如果你愿意承擔(dān)風(fēng)險(xiǎn)，并且有緩解因素，你可以暫停一個(gè)問題。

你需要用什么指標(biāo)來向管理層展示?

你想要報(bào)告的指標(biāo)取決于你向誰報(bào)告。如果是首席技術(shù)官或高級管理層，他們只想知道業(yè)務(wù)受到保護(hù)，他們正在獲得投資回報(bào)。例如，是否有任何新的關(guān)鍵問題，修復(fù)的速度有多快，還有多少問題仍未解決(以及原因)。

確保所有東西都準(zhǔn)備好了

你是否正在從你的IT環(huán)境中的每一項(xiàng)資產(chǎn)中獲取一切?像Intruder這樣的現(xiàn)代掃描儀提供自動化的審計(jì)就緒報(bào)告，但重要的是知道你的所有數(shù)字資產(chǎn)在哪里，以避免盲點(diǎn)、未打補(bǔ)丁的系統(tǒng)和不準(zhǔn)確的報(bào)告-這就是資產(chǎn)發(fā)現(xiàn)對于成功的漏洞管理不可或缺的原因。通過確保覆蓋你的所有數(shù)字資產(chǎn)，你可以驗(yàn)證在你的最關(guān)鍵系統(tǒng)的補(bǔ)救計(jì)劃中應(yīng)優(yōu)先考慮哪些內(nèi)容。

漏洞管理指標(biāo)走向何方?

平均檢測時(shí)間

這就是漏洞公之于眾的關(guān)鍵所在，因?yàn)槲覀円呀?jīng)掃描了所有目標(biāo)并檢測到了漏洞。從本質(zhì)上講，檢測整個(gè)攻擊面的漏洞以減少攻擊者的機(jī)會窗口的速度有多快。

攻擊面可見性

很少有人足夠幸運(yùn)地控制并100%看到他們的攻擊面。這就是攻擊面發(fā)現(xiàn)的用武之地。你將擁有你知道的或你已經(jīng)找到的資產(chǎn)的總數(shù)，但其中有多少被漏洞管理計(jì)劃覆蓋?你希望看到的是你的漏洞管理程序在整個(gè)攻擊面上保護(hù)的資產(chǎn)的百分比，無論是已發(fā)現(xiàn)的還是未發(fā)現(xiàn)的。

平均通知時(shí)間

優(yōu)先排序-或智能結(jié)果-對于衡量和幫助你決定首先解決哪些問題越來越重要，因?yàn)樗鼈儠I(yè)務(wù)產(chǎn)生影響。

展望未來：是時(shí)候修正了

你希望正確的人——那些真正解決問題的人——盡快獲得他們需要的信息。這意味著包括基于角色的訪問控制(RBAC)等功能，它可以將修復(fù)時(shí)間從幾小時(shí)或幾天減少到幾分鐘左右。

衡量和分析的要素

衡量和分析的要素為利益相關(guān)者和合規(guī)性審核員提供審核就緒報(bào)告，其中包含優(yōu)先處理的漏洞以及與你的問題跟蹤工具的集成。查看易受攻擊的內(nèi)容，并獲得管理網(wǎng)絡(luò)風(fēng)險(xiǎn)所需的確切優(yōu)先級、補(bǔ)救措施、洞察力和自動化。