個性化、復雜性流程正在制約漏洞管理能力

當前，漏洞管理已成為網絡安全管理不可或缺的手段，其生命周期閉環管理運營流程的優劣性直接影響漏洞管理能力。而不同組織的漏洞生命周期管理流程充滿了個性化、復雜性的特點。

首先，國家/行業/區域漏洞管理、漏洞公開披露、眾測漏洞管理、常規安全運維中的漏洞管理、應用安全漏洞管理、DevSecOps漏洞管理、供應鏈漏洞管理、安全加固服務外包漏洞管理等不同場景中，出發點、管理對象、工作內容、側重點有差異，且不同組織可能會交叉存在多個管理場景。其次，不同組織企業文化、管理方式、技術能力的不同也是造成個性化、復雜性的重要因素。

兼容并蓄，降低流程個性化、復雜性程度

如何構建貼合組織實際情況的管理流程，并能夠在運行過程中持續優化和提升成為挑戰。方法就是借鑒和吸收通用性框架，逐步降低個性化、復雜性程度。

縱觀業內眾多的各類漏洞管理流程通用性框架，攝星科技結合多年為國家監管、行業監管、重要關基企業、安全運維外包服務商提供漏洞管理流程建設服務經驗，選取有代表性的、可借鑒性強的四個典型框架進行分享。這四個框架各有其側重點、適用范圍，用戶可根據自身實際需求取其精華，兼容并蓄，形成貼合自身的運營流程。

1.《信息安全技術 網絡安全漏洞管理規范》（GBT30276-2020）

《信息安全技術 網絡安全漏洞管理規范》（GBT30276-2020）適用于網絡產品和服務的提供者、網絡運營者、漏洞收錄組織、漏洞應急組織等開展的網絡安全漏洞管理活動，其適用對象較廣。

規定了網絡安全漏洞管理流程各階段(包括漏洞發現和報告、接收、驗證、處置、發布、跟蹤)的管理流程、管理要求以及證實方法。

所定義的流程和階段如下:

2. CISA網絡安全事件及漏洞響應手冊（Federal Government Cybersecurity Incident and Vulnerability Response Playbooks）

CISA網絡安全事件及漏洞響應手冊用以改善和標準化美聯邦機構識別、修復漏洞，以及從網絡安全事件和漏洞事件中恢復的方法。

響應手冊定義的漏洞管理流程如下，包括識別、評估、修復和報告漏洞四個階段。

CISA認為，確定漏洞響應優先級并保護自己不受損害的最直接有效的方法之一就是關注那些已經被積極在野利用的漏洞。為此，專門建立了CISA已知被積極利用漏洞目錄（Known Expolited vulnerabilities calalog）。攝星科技已同步在官網發布“關鍵漏洞目錄”。

流程規范了應對緊急和高優先級漏洞時應遵循的高級進程。它不是現有漏洞管理程序的替代品，而是建立在現有漏洞管理實踐的基礎上。

3. OWASP漏洞管理指南（OWASP Vulnerability Management Guide (OVMG) ）

OWASP漏洞管理指南的目標是通過將復雜的漏洞管理問題分解為更易于管理的可重復動作（檢測、報告和修復）。側重于在漏洞生命周期中構建可重復的過程。

OVMG實施時，建議從“小”開始，然后在“生命周期”中逐步細化每個任務和子任務。使業務通過漏洞管理計劃的實施而變得更具彈性。

OVMG的管理流程由檢測（Detection）、報告（Reporting）、修復（Remediation）三個閉環組成。

每個閉環包含四個主要流程。每個流程都是一個包含待辦事項的任務列表。所有任務都有“輸入”和“輸出”。

漏洞管理的周期性意味著持續的流程改進，單個流程如何融入其它流程、任務如何跨三個閉環相互關聯對流程建立和改進至關重要。

(1) 檢測閉環（Detection Cycle ）

檢測閉環定義了誰、時間、地點、原因和方式執行漏洞測試的任務。

檢測閉環包含的流程、目標、任務列表如下：

(2) 報告閉環（Reporting Cycle ）

報告閉環的目標是幫助組織以可衡量的方式了解漏洞。側重于學習、分類和創建組織性、有意義的指標，這些指標將成為漏洞管理報告的基礎。

報告閉環包含的流程、目標、任務列表如下：

(3) 修復閉環（Remediation Cycle）

修復閉環的目標是減少或消除修復漏洞的工作，或提供證據說明特定漏洞不是威脅的原因。側重于確定修復工作的優先事項和條款，討論和記錄誤報，以及處理異常情況。

修復閉環包含的流程、目標、任務列表如下：

4. SANS漏洞管理成熟度模型（Vulnerability Management Maturity Model）

敏捷開發、DevOps、云技術和虛擬化使組織能夠以極快的速度構建和部署系統。同時，陳舊繁瑣的安全性和合規性測試方法無法跟上新技術發展。因此，漏洞管理人員需要了解并使用開發人員和工程師正在使用的相同工具和技術，能夠快速且經常性的生成測試結果，從而不會影響整個組織業務發展的速度。

大多數大型組織面臨的突出問題是漏洞數量巨大，所有組織都在努力應對基礎架構和應用程序中層出不窮的新漏洞。當以越來越快的速度向內部和外部客戶提供系統、應用程序和功能時，安全性也應得到切實保障。

SANS漏洞管理成熟度模型提供了流程、成熟度級別劃分，資產、漏洞、威脅的上下文信息以及關鍵度量指標（Key Metrics）?？蓞⒖即四Ｐ蛠硗晟坡┒垂芾沓绦?。

SANS漏洞管理成熟度模型將生命周期管理流程分為準備（Prepare）、識別（Identify）、分析（Analyze）、交流（Communicate）、處置（Treat）五個環節。每個環節又劃分為Initial（Level 1）、Managed（Level 2）、Defined（Level 3）、Quantitatively Managed（Level 4）、Optimizing（Level 5）五個成熟度級別。