那是2003年，我在芝加哥的一次行業會議上進行了我的首次網絡安全演講。我談到了當時肆虐的蠕蟲和病毒(如MSBlast、SQLSlammer等)，并向聽眾強調了強大漏洞和補丁管理的重要性。

到了問答環節，一位聽眾總結了他的困境，并拋出了一個非常尖銳的問題：“我們同時面臨著數千個漏洞。我們如何確定哪些漏洞的優先級?”

我籠統地回答：“基于已知的企業威脅進行優先級排序”或“基于資產的業務關鍵性進行優先級排序”。這個答案是準確但模糊的。20多年過去了，這位聽眾的困境和問題仍然困擾著許多企業。

然而，發生變化的是問題的規模。2003年，大型企業面臨數千個活躍漏洞。如今，他們面臨的漏洞數量已達數十萬甚至更多。與此同時，許多企業仍面臨多年前的同樣挑戰——缺乏經驗豐富的員工、手動流程、安全團隊與其他團隊(IT運營、軟件開發)目標不一致等。

由于現代企業依賴軟件運行，漏洞管理不善會帶來嚴重的業務風險。那么，CISO們是如何改進他們的計劃以更好地減輕風險的呢?在過去幾個月里，我與十幾位安全高管進行了交談以找出答案。雖然我做了大量相關筆記，但他們的回答歸結為了以下十個最佳實踐。

漏洞管理的十個一致最佳實踐

1. 文化

成功的漏洞管理計劃始于在整個企業內建立注重網絡安全的文化。許多CISO承認，他們面臨過歷史遺留的文化問題，其中一位對此進行了很好的總結。“我們的網絡安全文化曾經非常隨意，直到我們遭遇了Log4J漏洞和勒索軟件攻擊，”他告訴記者。“這些事件讓CEO和董事會如夢初醒。他們聘請了我，調整了預算，并承諾將采取必要措施。”在這種文化轉變中，改進漏洞管理成為首要任務。

2. 文檔記錄

大多數CISO都同意，漏洞管理的各個階段都應得到妥善記錄、評估和審查。這是對他們長期以來存在的漏洞管理問題沒有快速解決方案的重要認識。

相反，企業必須深入漏洞管理生命周期的每個階段，尋找效率低下之處，制定改進策略，并確定衡量進度的正確指標。CISO們還明白，這項工作沒有終點，但可靠的記錄有助于所有階段持續改進，一刻不停。

3. 制定流程

我交談過的大多數CISO都大量借鑒了現有框架，但根據他們的業務、行業和企業需求進行了定制。一旦制定完成，標準漏洞管理流程便可在整個企業中推行，并對其進行持續監控以尋求改進。

一位CISO提到，她的企業在此基礎上更進一步——在收購一家公司后，安全團隊有一個現成的計劃，可以將被收購公司的漏洞管理計劃轉變為符合其既定模型的計劃，其中還包括衡量進度的指標。

4. 明確必要的安全數據

需要明確的是，這首先不是技術盤點工作。CISO們評估他們擁有哪些數據，并將其與所需數據進行比較。有了這些知識后，他們就可以指派員工去尋找能夠填補空白的技術。

5. 將集成嵌入到漏洞管理中

這同樣是一個學術性而非技術性的項目。它始于了解誰需要什么數據，以及這些數據來自哪里。一旦個人收到正確的數據，他們會怎么處理這些數據?假設這一切都進展順利，數據分析是否會觸發自動或手動操作?在映射了所有“輸入”和“輸出”組件后，CISO們通常會邀請供應商合作伙伴參與審查。目標是什么?讓他們參與進來，使用必要的連接器、API和數據格式，將設計變為現實。

6. 確定用于優先排序的正確指標

這直接回應了我在2003年被問到的問題。這也是漏洞管理與暴露管理相結合的地方，一切都與背景有關。漏洞資產的業務價值是什么?漏洞資產是否處于攻擊路徑上?是否有補償控制措施到位?補償控制措施最近是否經過測試?

我知道這似乎是一個顯而易見的步驟，但我交談過的CISO們已經將這一步驟以及更多因素納入了一個定制的風險評分系統中，這是整個計劃的核心。

7. 建立服務級別協議(SLA)規范

優先級層次結構與安全、IT、軟件開發和第三方風險管理團隊之間嚴格的SLA相結合。例外情況很少見。許多企業在團隊錯過SLA截止日期時還有正式的審查流程。同樣，這里也需要持續改進。

8. 制定緊急補丁程序

Log4Shell和SolarWinds等事件給許多CISO敲響了警鐘，他們意識到自己的企業在應對這類緊急事件時毫無準備。這一認識促使CISO們創建、組建團隊并測試專為這類事件設計的應急響應計劃。

一位CISO說：“雖然我對我們過去事件的應對感到自豪，但多名團隊成員連續幾周疲憊不堪，離職率也飆升。我們不能總靠英雄式的人物，我們需要一個可以依賴的系統化程序。我希望沒有‘下一次’，但如果有，我們將更有準備。”

9. 使不同團隊的目標、指標和薪酬保持一致

漏洞管理依賴于擁有強大溝通能力、一致指標和共同目標的跨職能團隊——這是人員方面的因素。

這始于上文討論的致力于網絡安全文化的承諾，但我交談過的CISO們還與CIO、業務經理和人力資源人員合作，創造了正確的工作流程、自動化、報告、信息傳遞，甚至員工薪酬福利，以激勵不同群體和個人之間的合作。當CISO與CIO定期攜手合作，發現瓶頸并審查進度時，安全工作會變得更加有效。

10.通過持續有效性測試加強漏洞管理

多年前，我創造了一個笨拙的縮寫SOPV，代表安全可觀測性、優先級排序和驗證。這個縮寫并未流行起來，但我交談過的CISO們已經接受(或正在接受)連續安全驗證測試的概念。

當然，驗證是漏洞管理生命周期的一個階段，那么發生了什么變化?許多公司已經從定期滲透測試轉向使用新工具或托管服務的連續安全測試。MITRE將此稱為基于威脅的防御。通過這種方式，企業不僅可以驗證漏洞修復情況，還可以測試控制措施的有效性，并為檢測規則工程提供藍圖。

CISO們還有許多其他戰爭故事和建議，但無論企業規模、位置或行業如何，上述十個建議都非常普遍。最后，我要報告另一個共同點：用網絡安全領域一個常見的比喻來說，CISO們意識到，強大的漏洞管理是一場非線性之旅，而不是終點。

換句話說，這項工作永遠沒有完成的時候，而是要不斷尋求改進每一步和每一項任務。要保護現代企業，總有大量工作要做，但這就是現實。