近几个月来,新闻中充斥着有关漏洞被利用的报道,例如Apple Shortcuts 漏洞、SlashandGrab ScreenConnect 漏洞、ESET 权限升级漏洞、Zoom 漏洞、Roundcube Webmail 漏洞和Ivanti VPN 漏洞。这些事件凸显了组织迫切需要对其漏洞管理实践进行现代化改造。根据网络安全和基础设施安全局 (CISA) 的数据,攻击者在发现漏洞后仅15 天内就会利用漏洞,而组织通常需要几个月的时间才能修补漏洞。这引发了人们对组织如何缩小这一差距并有效降低风险敞口的担忧。
自从计算机软件成为现代商业、通信和娱乐的支柱以来,它一直是黑客活动分子、有组织的网络犯罪分子、流氓民族国家和恐怖组织的主要目标。他们的主要攻击方法是利用应用程序中的设计缺陷和弱点来窃取数据、实施欺诈和泄露敏感信息。
漏洞管理现状
在当今不断发展的数字环境中,保护敏感信息和关键系统免受网络威胁比以往任何时候都更具挑战性。由于快速的技术创新、开源库的采用、不断扩大的攻击面(现在包括云)、软件应用程序的激增以及网络威胁的日益复杂等因素,漏洞的数量和复杂性持续上升。
许多组织面临着资源限制,包括预算有限、人员短缺和优先事项相互竞争,从而难以跟上源源不断的漏洞并有效分配资源来缓解这些漏洞。补丁管理虽然重要,但也带来了挑战。在不中断关键系统和运营的情况下及时修补需要仔细协调和测试,这会导致组织资源紧张并引入潜在风险。
一项2023 年研究表明,组织平均需要 88 天来修补严重漏洞,平均需要 208 天来修补低严重性漏洞,这为攻击者提供了充足的时间来访问企业网络。在许多情况下,漏洞即使在发现一年后仍未得到解决,使组织面临简单的攻击。
根据IBM 的 2023 年数据泄露成本报告,67% 的泄露是由第三方而不是内部资源发现的,这凸显了组织需要更好地控制漏洞管理。
实施基于风险的方法
考虑到这些挑战,对基于风险的漏洞管理方法的需求从未如此明显。基于风险的方法涉及根据漏洞对组织资产、运营和战略目标的潜在影响来确定漏洞的优先级。通过首先关注最关键的漏洞,组织可以优化其有限的资源并增强其整体安全状况。
过渡到基于风险的方法需要采用涵盖人员、流程和技术的全面且系统的方法。实施基于风险的漏洞管理方法的关键步骤包括:
- 风险评估和优先级:组织应进行彻底的风险评估,以识别漏洞,评估其潜在影响,并根据风险严重性和业务关键性对其进行优先级排序。
- 与风险管理框架集成:组织应将其漏洞管理流程与更广泛的风险管理框架(例如 NIST 网络安全框架或 ISO 27001)保持一致,以确保合规性并与组织风险管理目标保持一致。
- 自动化和编排:组织应利用自动化和编排工具来简化漏洞检测、评估和修复流程,从而实现更快的响应时间和更高效的资源利用。人工智能技术将在这方面发挥重要作用。
- 持续改进和优化:组织需要通过定期评估漏洞管理实践的有效性、确定需要改进的领域以及从安全事件和违规中汲取经验教训,建立持续改进和优化的文化。
结论
向基于风险的方法的过渡对于解决网络威胁和漏洞日益复杂和动态的本质至关重要。通过根据风险确定漏洞的优先级并使安全工作与业务目标保持一致,组织可以增强抵御网络攻击的能力,优化资源分配,并在当今日益数字化的世界中保持主动的安全态势。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论