可见、可用、可考量——企业高效漏洞管理的目标与实现

今年初，美国联邦贸易委员会（FTC）就解决Log4j问题向商业界发出正式通告，并警告称：相关企业需要立刻采取措施应对，如不能及时采取漏洞修补措施，而造成个人信息的丢失或泄露、财务损失和其他不可逆转的伤害时，企业及责任人将会受到相关法律的问责和诉讼，包括《联邦贸易委员会法》和《格雷姆·里奇·比利雷法案》（Gramm Leach Bliley Act）等。

在我国，由公安部、工业和信息化部、国家互联网信息办公室联合制定的《网络产品安全漏洞管理规定》已于去年9月正式实施，《规定》中明确要求，网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，要提高相关主体的漏洞管理水平，建立畅通的漏洞信息接收渠道，及时对漏洞进行验证并完成漏洞修补，防范网络安全重大风险事件发生。

在网络世界中，安全漏洞将会长期存在，所谓的安全性不仅是指“安全”或“不安全”，而是还取决于企业发现漏洞并进行响应的速度，只有通过科学的手段实现高效漏洞管理，网络系统才会变得更加安全与健壮。

大量数据和案例表明，虽然漏洞评估和管理工具不断丰富，但是企业的漏洞管理计划与工作依然有很多可改进的地方，例如，人才资金匮乏、缺乏对漏洞风险的预测感知能力、企业信息化孤岛和部门协同、漏洞修复效率低下等。与此同时，漏洞风险正随着攻击技术的快速提升而增加。

对于企业安全团队，可以通过一套漏洞管理成熟度模型来衡量企业组织目前的漏洞管理水平，漏洞管理成熟度模型主要包括如下5个阶段：

处在这一阶段的公司企业要么没有任何漏洞管理措施，要么只做临时性的测试。

处于这个阶段的企业可以自发在内部开展漏洞扫描工作，每周或者每月固定开展，但是往往是为了应对外部监管。

该阶段的漏洞管理工作为公司所理解，也受到公司管理层的一定支持，漏洞扫描更为频繁，但是专业工具应用还比较有限。

处在这一阶段的公司企业有可量化、可度量的指标，定义可接受的风险水平。

在这一阶段，使用第四阶段定义的度量指标用实现管理提升和优化，所有的优化指标都用于减少组织的受攻击面。

对于企业 CSO 和 CIO 来说，在投资或者选择新的漏洞管理或脆弱性风险管理相关工具产品和方案之前，都首先需要明确一点，你如何判断漏洞管理项目的有效性？如何成功实施漏洞管理项目？很多时候，漏洞管理不仅仅是一个技术问题而是企业综合管理问题，它应该是程序化的，包含计划、行动、协同、问责和持续改进。以下梳理总结了企业开展高效漏洞管理的12个步骤与建议：

开展有效的漏洞管理涉及多个方面，从定期的渗透测试到全面的企业漏洞管理，任何一个疏漏都可能导致危害发生。因此，需要一个专业、可靠的安全团队来进行保障。在这个安全团队中，除了要配置负责漏洞管理及修补的安全分析师，还要涵盖其他业务利益相关者，例如数字化业务部门的员工，他们可以说明在对业务系统进行处置时，企业组织可能面临的影响，这样团队可以更好地制定并实施漏洞管理工作计划。

对于企业组织的安全团队而言，掌握最新的IT资产清单是开展有效漏洞管理计划的基础要求，这已经成为共识，但实践起来却非常困难。尤其是在当今的企业环境中，物理设备、远程终端、物联网组件、云服务、软件即服务（SaaS）和开源代码组件等大量系统和应用充斥其中，想要获取一份全面并能及时更新的资产清单非常困难。虽然实践难度大，但这一切都是必须考虑并实现的。

有了全面的资产清单，下一步行动就是要通过了解企业IT环境的互连性、数据流动和集成环境来大力追求网络的可见性。对漏洞管理范围的任何限制都会增加可见性风险。因此，必须将资产发现作为任何漏洞管理程序的核心组件。如果漏洞管理项目未能覆盖某些资产或特定业务领域，那么它在降低风险方面的效用也会大打折扣，因为相比已知威胁，防范未知风险的挑战会更大。同样，如果资产发现不是连续或者高频的，也会存在过时或失真风险。

研究机构Veracode调查显示，扫描频率较高的企业在补救漏洞方面往往要快得多，每天进行漏洞扫描所需的漏洞修补平均时间仅为19天，而每月扫描一次或更少的企业组织则为68天。但有一点需要明确，扫描频率不是越高越好，而应该是合理的。理想的状态是扫描频率与修复节奏同步，而且在变更时能够自动执行扫描。同时，为了取得更好的扫描效果，企业除了运行更常用的基于代理的软件和网络扫描程序外，还应该包括凭据扫描、弱配置扫描和缺失补丁搜索等。

查找和评估漏洞风险的目的并不是出一个漂亮的报告。关键是要制定更好的风险缓解决策，关键是要采取行动解决问题，交付结果。企业必须将有效的漏洞管理程序与补救工作流集成在一起，才能有效推动企业的漏洞管理水平，但难点是企业内部工作流往往数量众多，集成存在相当。成熟、完善的漏洞管理计划需要具备有记录且深思熟虑的工作流程。此外，为了更好的协同工作，企业还应该制定一个通用的操作图，为所有从事漏洞管理的团队成员提供相同的数据和情报信息。

想要验证漏洞管理控制措施的有效性和执行情况，最好的方式就是有指标来衡量目前的漏洞管理工作成效。企业可以使用目前常用的关键绩效指标，例如及时修复的关键漏洞百分比和未及时修复的关键漏洞百分比来衡量当前状态并跟踪一段时间内的改进情况，其他可用的KPI指标还包括库存资产百分比、检测时间、平均修复时间、漏洞导致的事件数量以及漏洞重启率等考核参数。

跟踪KPI可以掌握自身企业的漏洞管理计划是否随着时间的推移而改进，但还需要衡量行业中其他公司的管理水平与能力。基准化分析法（Benchmarking）可以帮助企业比较自身与同行和竞争对手的漏洞管理表现，它还可以向公司管理层证实目前的漏洞管理计划是有效的。它甚至可以作为公司业务在市场竞争中的差异化因素，帮助企业提升业务收入的增长。

目前，很多公司已经将漏洞赏金计划视为管理漏洞的重要组成部分，利用道德黑客可以从另一个视角帮助企业发现安全漏洞问题，这确实是解决问题的一种有效方法。而对于规模较小或专业能力有限的组织来说，也可以建立一个内部漏洞赏金计划以奖励发现漏洞的所有内部员工，或者与提供此类服务的外部各方或网络安全公司合作，以充分利用更多的专业知识。

常见漏洞和暴露（CVE）列表中公开披露的计算机安全漏洞数量正在持续增长，鉴于漏洞数量如此庞大，研究机构建议企业组织应该提前明确优先事项，并将漏洞管理计划重点放在他们实际计划解决的漏洞上。如果一个组织只计划解决评级高的漏洞，为什么还要扫描低风险的漏洞呢？但是，漏洞管理计划不能忽略公司数字业务环境的特点和需求，不能因为 “抓大放小”而漏掉导致业务损失的 “小” 风险。高效漏洞管理的修复工作优先级，需要将漏洞放在业务环境和系统环境进行考量。

企业安全团队早就知道解决IT环境中的漏洞有多么重要，而鉴于漏洞引发的安全事件及其危害性不断增加，很多企业的管理层也逐渐意识到了这项任务的重要性。公司管理层的态度对于漏洞管理项目来说意义重大，要让高层心悦诚服而不是将信将疑地口头表示 “支持”。具体来说，企业的项目计划能赢得领导多大程度的支持，很大一部分取决于漏洞管理项目本身效果的“可视化”程度。如果成败的价值差异或者严重程度不足以打动领导，那么漏洞安全管理的预算与实施自然也是可有可无。

要拥有高效的漏洞管理计划，组织必须制定明确的工作负责人，否则一旦出现问题，团队中的每个人都会互相推诿。头洞管理负责人不一能是CISO，因为他们通常没有足够时间跟踪KPI和管理团队。大型企业通常有足够的漏洞管理工作来设置一个全职的漏洞管理负责人角色，但中小型公司也应将这种工作职责明确赋予到一个具体的责任人。

除了为计划分配责任外，组织还应该建立激励措施，例如与改进KPI相关的奖金。而且，不仅要激励负责漏洞修补的团队，还要激励整个组织的利益相关者。这些激励措施可以以额外补偿、奖金、休假或其他被认可的形式进行。

参考链接：

https://www.csoonline.com/article/3659838/12-steps-to-building-a-top-notch-vulnerability-management-program.html