【编者按】春节前看到国外同行与我们在思路和方法上非常接近。本着“他山之石,可以攻玉”的想法,参考了 vulcan.io 的两篇文章,汇总整理了可供借鉴的思路。
随着IT环境的日益复杂,企业面临的网络安全风险也在不断增加。漏洞管理已从传统的本地服务器和数据中心扩展到云环境、虚拟机、代码仓库、容器镜像、存储及网络基础设施等多个领域。与此同时,企业内部组织结构也愈发封闭,各团队为了在竞争中保持优势,往往各自为战,导致漏洞修复工作流程跨多个团队,协调难度加大。客观上,漏洞数量激增叠加网络安全人才短缺,加剧了企业漏洞管理面临的挑战。
本文旨在通过七步闭环的漏洞管理生命周期,帮助企业从识别到修复,全面提升安全态势,优化资源效率。
-
漏洞数量激增。每天记录的CVE漏洞数量超过50个,且大多数漏洞可被技术能力有限的攻击者利用。61%的漏洞无需用户交互即可被利用,54%的漏洞可利用度分级为“高”,60%的数据泄露事件源于未修补的漏洞。
-
复杂性与范围扩大。95%的企业关注云安全问题,40%的企业待修补的安全漏洞累积到5,000个以上,68%的企业在过去12个月内因应用漏洞遭遇数据泄露。
-
网络安全人才短缺。2021年网络安全岗位空缺达350万个,有足够人手及时修补漏洞的团队约36%(注:这是发达经济体的情况,中国大陆的情况预计更不乐观)。
-
整合:集中管理漏洞数据。随着攻击面的扩大,漏洞数据分散且难以管理。60%的组织使用至少两种扫描工具检测发现漏洞。解决方案是将安全漏洞和风险数据集中到统一的平台,确保全面可见和高效管理。集中管理漏洞数据是安全漏洞防治的第一步,能够避免工具泛滥和数据重复问题。
-
相关性:漏洞去重、聚合。66%的企业积压的安全漏洞实例超过10万个。重复数据降低了处理效率,妨碍准确评估实际风险。通过漏洞去重、聚合,将漏洞按CVE归类,而非单独处理每个实例。这样简化了数据管理流程,提升了运营效率。
-
丰富:为漏洞数据添加相关信息。55%的人认为当前的威胁情报缺乏足够的预测性。由于缺少上下文相关信息,漏洞的优先级评估往往不够准确。通过整合威胁情报、分析根本原因以及攻击者路径信息,丰富漏洞数据,提供更精确的风险评分,实现可操作的优先级排序。
-
优先排序:基于业务影响评估风险。79%的企业认为当前的漏洞优先级评估未充分考虑业务环境。结合CVSS(通用漏洞评分系统)、EPSS(漏洞利用预测评分系统)等标准评分,评估漏洞对业务的潜在影响,如财务损失和声誉损害。确保资源分配更加合理,优先修复对业务构成高风险的漏洞。
-
编排:自动化漏洞修复流程。到2025年,90%的安全操作工作流程将实现自动化。手动修复漏洞效率低下,且需要多个团队协同合作。利用自动化工具协调漏洞修复任务,显著缩短平均修复时间(MTTR),提升运营效率,确保跨团队协作顺畅无阻。
-
协作:打破部门孤岛,全员参与。63%的IT组织负责漏洞修补,65%负责配置管理。漏洞修复涉及多个团队(如DevOps、SecOps),沟通不畅导致效率低下。建立跨团队协作机制,确保所有利益相关者充分理解漏洞风险并积极参与修复工作,加速漏洞修复进程,打破部门孤岛现象。
-
报告:跟踪漏洞修复进展。60%的信息安全团队有意识地汇报安全漏洞防治工作。由于缺乏系统化的报告机制,漏洞修复进度通常不够透明。定期生成漏洞修复报告,跟踪修复进展状态、未修复漏洞、系统检查情况,确保漏洞修复满足SLA(服务水平协议),在组织范围内整体提升协作效率。
漏洞管理并非一次性任务,而是一个持续循环的过程。通过七步闭环,紧盯风险,防治漏洞,企业能够有效降低漏洞风险,全面提升安全态势。
建议企业评估现有漏洞管理流程,引入自动化工具,加强跨团队协作,确保安全漏洞防治工作高效、有序地进行。
【参考链接】
https://vulcan.io/blog/7-stages-of-the-vulnerability-management-lifecycle
https://vc.vulcan.io/rs/841-RSS-862/images/VulcanCyber-Step-by-Step-Guide-to-Achieve-Cyber-Security-maturity-ALT.pdf
- End -
原文始发于微信公众号(方桥安全漏洞防治中心):紧盯风险,防治漏洞:七步闭环
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论