漏洞管理 (VM) 似乎无处不在,你随便抓住一个企业 IT 人士询问是否实施了漏洞管理,绝大多数人都会给你肯定的答复。
听上去是似乎大家的 IT 系统都已经千针万线,严丝合缝,连一只苍蝇都飞不进去,但实际上呢?一下雨就是锅碗瓢盆交响乐。
事实上,所谓的漏洞管理存在着各种各样的实现方式,从定期的渗透测试到全面的企业漏洞管理,任何一个疏漏都可能满盘皆输。人们常挂在嘴边的脆弱性风险问题,几乎从未得到真正解决。在安全牛对国内 200 位 CSO 读者的调查中,有 26% 的受访者表示由于未及时修补漏洞而蒙受了安全损失。
正是由于企业漏洞管理水平无法赶上不断增长的漏洞威胁,漏洞管理市场近年来正在稳步增长,大量企业都准备或者已经在升级或替换现有工具。
但是对于企业 CSO 和 CIO 来说,在投资或者选择新的漏洞管理或脆弱性风险管理相关工具产品和方案之前,都首先需要明确一点,你如何判断漏洞管理项目的有效性?如何成功实施漏洞管理项目?很多时候,漏洞管理不是一个技术问题而是一个管理问题,更准确点说,是一个企业的 “卫生习惯”,以下安全牛总结了七个高效漏洞管理的好习惯:
1、赢得高层支持
高层的态度对于漏洞管理项目来说意义重大,但是让高层心悦诚服而不是将信将疑地说 “支持” 其结果有着天壤之别。具体来说,你的项目计划能赢得领导多大程度的支持,很大一部分取决于你的表达能力和项目本身效果的“可视化”程度。如果成败的价值差异或者严重程度不足以打动领导,那么你的预算自然也是可有可无。
2、以资产发现为基本点
对漏洞管理范围的任何限制都会增加可见性风险。因此,必须将资产发现作为任何漏洞管理程序的核心组件。如果漏洞管理项目未能覆盖某些资产或特定业务领域,那么它在降低风险方面的效用也会大打折扣,因为您无法消除未知风险。同样,如果资产发现不是连续或者高频的,也会存在过时或失真风险。
3、高频扫描
高频扫描听上去有点像 “连续扫描”,给人不妙的感觉。现实情况是,进行高频率扫描的原因一般两个:首先是为了配合补救工作,其次是为了捕捉风险画像中的重要变化(例如,发现新的高风险漏洞)。
但有一点需要明确,扫描频率不是越高越好,而应该是合理的。频率的设定需要与两个目标关联在一起:首先,如果你的修复节奏是每月一次,那么每天扫描也无助于改善结果。但是,如果您的变更管理不够充分,那么可以考虑通过更频繁地扫描来降低某些风险。理想的状态是扫描频率与修复节奏同步,而且在变更时能够自动执行扫描。
4、融入业务环境
武无第一,同理漏洞风险也不是极限运动,如果你把布局重点放在一些绝对的风险上,忽略了业务环境和需求,那么你反而可能 “抓大放小”,漏掉了正真危险的,业务桌面上的 “小” 风险。高效漏洞管理的修复工作优先级,需要将漏洞放在业务环境和系统环境进行考量。说白了,就是要首先处理具有更高价值和更高业务风险的资产。
5、例外不是借口
您无法管理自己不知道的风险,通过扫描创建例外会带来很多未知风险。在环境中很可能存在无法扫描的设备,它们往往是一些稀疏分布的老旧设备。但这些 “犄角旮旯” 的例外并不能成为例外的理由,一台靠近窗户的老掉牙的复印机能有多大风险?只有那些积极主动测绘并完善防护面的企业才能防患于未然,在漏洞管理方面表现出色。
6、指标化管理
三人成虎的恐慌销售策略 (FUD) 是网络安全行业多年来的标准操作,但是有效的漏洞管理项目可不能建立在 FUD 战术之上,而是应该基于指标。只有把 “好” 给指标化了,你才能有效评估工作,找出工作的不足之处。
7、漏洞修复重在流程整合
查找和评估漏洞风险的目的并不是出一个漂亮的报告。关键是要制定更好的风险缓解决策,关键是要采取行动解决问题,交付结果。有效的漏洞管理必须结合有效的补救措施。很遗憾,没有漏洞评估工具会自动执行补救操作。你必须将有效的漏洞管理程序与补救工作流集成在一起,才能有效推动企业的漏洞管理水平,但难点是企业内部工作流往往数量众多,集成存在相当。
你需要首先 “摸底” 再 “捞底”,搞清楚企业的业务流程和不同部门的工作方式,然后找出将补救工作整合到流程中的方法。
市场已经有大量的漏洞评估产品,但是有效的漏洞管理却依然存在很大的改进空间。以上这七个原则,也许不一定能够让你 “七步成诗”,但如果能给你的工作带来一些新的思路和启发,也就足矣。