信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“數(shù)世咨詢”，作者/茉泠。

最近發(fā)布的Security Navigator報(bào)告數(shù)據(jù)顯示，企業(yè)仍需要大約215天來(lái)修復(fù)一個(gè)報(bào)告的漏洞。即便是關(guān)鍵漏洞，通常也需要6個(gè)月以上的時(shí)間來(lái)修復(fù)。

良好的漏洞管理，并不在于修復(fù)漏洞方面的速度。它更在于通過(guò)漏洞優(yōu)先級(jí)來(lái)將重心放在真正要緊的漏洞上，從而減少公司的攻擊面。公司的數(shù)據(jù)和威脅情報(bào)之間需要具有相關(guān)性以及自動(dòng)化能力。這有助于內(nèi)部團(tuán)隊(duì)能夠集中精力進(jìn)行補(bǔ)救工作。合適的技術(shù)可以形成一個(gè)全球漏洞智能平臺(tái)。該類平臺(tái)可以使用風(fēng)險(xiǎn)評(píng)分來(lái)幫助對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序，從而使企業(yè)專注于其真正關(guān)鍵的組織風(fēng)險(xiǎn)。

引言

在建立一個(gè)有效的漏洞管理程序之前，要牢記一些事實(shí)：

1、每年新檢測(cè)出的漏洞數(shù)量正不斷增加。如今平均每天都能發(fā)現(xiàn)50個(gè)新漏洞?？上攵康穆┒词菐缀醪滑F(xiàn)實(shí)的。

2、在所發(fā)現(xiàn)的全部漏洞中，僅有一部分能夠?qū)λ薪M織產(chǎn)生大范圍的影響，而這些漏洞才算是能夠被有效利用。數(shù)據(jù)顯示，僅有大約6%的漏洞曾在野外被利用。所以，我們所需要的是減輕漏洞管理的負(fù)擔(dān)，專注于真正的威脅。

3、即使是同一個(gè)漏洞，對(duì)于不同公司的業(yè)務(wù)和基礎(chǔ)設(shè)施也會(huì)產(chǎn)生完全不同的影響。因此，組織需要同時(shí)考慮業(yè)務(wù)的暴露程度和漏洞的嚴(yán)重性?；谶@些事實(shí)，我們就可以明白，沒(méi)有必要修復(fù)所有的漏洞。相反，我們更應(yīng)該關(guān)注那些對(duì)威脅環(huán)境以及組織內(nèi)部情況具有針對(duì)性的真正威脅。

基于風(fēng)險(xiǎn)的漏洞管理概念

此概念指的是重點(diǎn)關(guān)注最關(guān)鍵的資產(chǎn)以及攻擊者所針對(duì)的高風(fēng)險(xiǎn)資產(chǎn)。為了處理基于風(fēng)險(xiǎn)的漏洞管理程序，我們需要考慮兩個(gè)環(huán)境。

內(nèi)部環(huán)境

客戶的環(huán)境代表內(nèi)部環(huán)境。隨著公司網(wǎng)絡(luò)的持續(xù)增長(zhǎng)和多樣化發(fā)展，其攻擊面也不斷擴(kuò)張。攻擊面代表著黑客所能接觸到信息系統(tǒng)的所有組件。了解自己信息系統(tǒng)和攻擊面的情況是保護(hù)公司安全的第一步，這需要清晰并及時(shí)地掌握相關(guān)信息。同時(shí)，考慮業(yè)務(wù)環(huán)境也很重要。公司可以因其業(yè)務(wù)領(lǐng)域中所擁有的特定數(shù)據(jù)和文檔（知識(shí)產(chǎn)權(quán)、機(jī)密國(guó)防等）而成為更大的目標(biāo)。最后一個(gè)需要考慮的關(guān)鍵因素是公司的獨(dú)特背景。目的是根據(jù)其關(guān)鍵性來(lái)對(duì)資產(chǎn)進(jìn)行分類，并突出最重要的資產(chǎn)。例如，資產(chǎn)的可用性若遭到破壞，業(yè)務(wù)的持續(xù)性將面臨嚴(yán)重的中斷；或者說(shuō)如果高度機(jī)密的資產(chǎn)被非法訪問(wèn)，那么公司將會(huì)面臨相應(yīng)的法律訴訟。

外部環(huán)境

威脅環(huán)境代表外部環(huán)境。此數(shù)據(jù)無(wú)法通過(guò)內(nèi)部網(wǎng)絡(luò)訪問(wèn)。組織需要花費(fèi)人力和財(cái)力來(lái)查找并管理這些信息。另外，這項(xiàng)工作也可以外包給專業(yè)人員，由他們來(lái)監(jiān)控威脅環(huán)境，從而維護(hù)組織的利益。

同時(shí)，了解那些被實(shí)際利用的漏洞也是十分必要的，因?yàn)樗鼈儠?huì)對(duì)公司構(gòu)成更高的風(fēng)險(xiǎn)。這些被實(shí)際利用的漏洞可以通過(guò)威脅情報(bào)能力，結(jié)合漏洞數(shù)據(jù)來(lái)進(jìn)行跟蹤。為了取得最有效的成果，要盡量增加威脅情報(bào)來(lái)源的數(shù)量并將它們關(guān)聯(lián)起來(lái)。此外，理解攻擊者的活動(dòng)有助于預(yù)測(cè)潛在的威脅。例如：關(guān)于新的零日漏洞或新勒索軟件攻擊的情報(bào)可以幫助內(nèi)部團(tuán)隊(duì)及時(shí)地采取行動(dòng)，以防止安全事件的發(fā)生。

將兩個(gè)環(huán)境結(jié)合起來(lái)理解有助于組織更好地定義其真實(shí)風(fēng)險(xiǎn)，同時(shí)也可以更有效地確定應(yīng)該在哪里部署預(yù)防和修復(fù)措施。組織不需要盲目地對(duì)大量漏洞都打上補(bǔ)丁，而是要有針對(duì)性地選擇關(guān)鍵的漏洞進(jìn)行修復(fù)，這樣才能更有效地降低組織遭到攻擊的風(fēng)險(xiǎn)。

實(shí)施基于風(fēng)險(xiǎn)的漏洞管理計(jì)劃的五個(gè)關(guān)鍵步驟

資產(chǎn)識(shí)別：識(shí)別所有的資產(chǎn)以發(fā)現(xiàn)攻擊面。進(jìn)行一次資產(chǎn)清點(diǎn)掃描可以幫助組織獲得初步的資產(chǎn)信息。然后在內(nèi)部環(huán)境及外部環(huán)境上定期進(jìn)行掃描，并將結(jié)果共享到漏洞情報(bào)平臺(tái)。

上下文化：在漏洞情報(bào)平臺(tái)中配置組織中的業(yè)務(wù)背景以及資產(chǎn)的重要程度。隨后，掃描結(jié)果將會(huì)根據(jù)每個(gè)資產(chǎn)的特定風(fēng)險(xiǎn)評(píng)分進(jìn)行上下文化處理。

豐富掃描結(jié)果：使用漏洞情報(bào)平臺(tái)提供的附加來(lái)源（例如威脅情報(bào)和攻擊者活動(dòng)）來(lái)豐富掃描結(jié)果，這有助于組織對(duì)威脅情況進(jìn)行優(yōu)先級(jí)排序。

修復(fù)：由于每個(gè)漏洞都會(huì)給出一個(gè)相應(yīng)的風(fēng)險(xiǎn)評(píng)分，所以可以將其與威脅情報(bào)標(biāo)準(zhǔn)（如“易于利用”、“在野外利用”或“廣泛利用”）相對(duì)應(yīng)起來(lái)。這樣可以更輕松有效地確定修復(fù)的優(yōu)先順序。

評(píng)估：使用關(guān)鍵績(jī)效指標(biāo)（KPI）以及定制的儀表板和報(bào)告來(lái)監(jiān)測(cè)和衡量漏洞管理程序的進(jìn)展情況。這是一個(gè)持續(xù)改進(jìn)的過(guò)程。

基于風(fēng)險(xiǎn)的漏洞管理是一種相對(duì)于傳統(tǒng)漏洞管理更加有效的方法，它能夠幫助企業(yè)更好地把握自身系統(tǒng)的安全狀況，更好地分配安全資源和優(yōu)先處理漏洞。然而，它只是一個(gè)更廣泛的安全管理框架中的一個(gè)環(huán)節(jié)，僅僅依靠它不夠的。企業(yè)還需要在此基礎(chǔ)上建立一個(gè)完整的安全生命周期管理框架，將其融入到更為全面的安全管理體系中，以確保組織系統(tǒng)的全面安全。