多起数据泄露事件都可以追溯到未修补的漏洞,其中包括2017年信用报告机构Equifax公司的大规模数据泄露事件。Tripwire公司在2019年的一项研究发现,27%的违规事件是由未修补的漏洞引起的,而Ponemon公司在2018年开展的一项研究表明这一数字高达60%。
这不会让安全领域的任何人感到惊讶:在过去几年中,发现的漏洞数量每年都在增加。
与此同时,安全团队也不堪重负,因为他们一直在忙于实现安全的远程工作和解决其他与新冠疫情相关的问题,同时还要应对人员短缺问题。
因此,改进漏洞管理计划并不总是首要任务。然而,一些资深安全负责人表示,他们看到了可以而且应该解决的常见错误和失误,以加强这些计划。以下是他们指出的首席信息安全官仍然经常会犯的10个错误:
1.未能获得企业高管支持
良好的漏洞管理计划所需的工作远远超出了安全团队的范围。风险决策需要企业管理层的投入,修补漏洞需要IT专业知识,计划的更新停机时间会影响多个业务功能。
因此,首席信息安全官需要企业中多个参与者的支持才能很好地完成这项任务,托管服务提供商Thrive公司首席技术官Michael Gray表示,当首席信息安全官得到企业高层领导的支持时,他们更有可能获得成功。
另一方面,缺乏企业高管层对其漏洞管理工作的支持的首席信息安全官可能会因对可接受的风险缺乏明确性以及IT和业务部门对安排修补和系统停机时间的反对而受阻。
但也有一些好消息,Gray和其他人表示,随着网络安全已成为企业董事会的关注点,首席信息安全官越来越多地发现他们需要高管的支持。研究机构Gartner公司的数据证实了这一趋势,该公司在2021年的调查发现,88%的企业董事会现在将网络安全视为一种业务风险。
2.没有培养共同的责任感
Under Armour公司首席信息安全官Alex Attumalil说,“首席信息安全官不应全部承担漏洞管理的责任或风险。”
首席信息安全官并不拥有他们支持的系统或业务功能,也无权单独确定企业是否愿意接受任何特定风险。
他说,“我们不能完全代表企业接受风险。这需要与其他企业领导者沟通风险,根据业务风险制定漏洞管理框架,并让他们成为解决方案的一部分。他们需要知道自己应该对系统引入的漏洞负责。”
Attumalil表示,这种方法让首席信息安全官以外的企业高管参与其中,这一举措在漏洞管理工作(例如安排系统停机时间进行修补)方面建立了更多支持和协作。
3.使用通用风险优先级
Pulse公司最近为安全供应商Vulcan Cyber公司进行的一项研究表明,在200多名做出响应的企业IT和安全主管中,绝大多数都没有根据其企业自身独特的风险状况对漏洞进行优先级排序。更具体地说,该研究表明,86%的受访者表示将依赖第三方漏洞严重性数据来确定漏洞的优先级,70%的人还使用第三方威胁情报。
资深安全领导人警告不要采用这种方法,称这可能会让首席信息安全官及其团队将有限的资源集中在错误的威胁上。
KLC咨询公司为美国国防承包商提供网络安全建议和vCISO服务,其总裁兼首席信息安全官Kyle Lai建议采用不同的方法。他表示,首席信息安全官及其团队必须了解企业自身的技术环境,并拥有最新的资产清单,他们必须了解企业的风险偏好和风险承受能力,以便他们能够识别对自己企业的最大威胁,并优先消除这些威胁。
他说,“他们应该了解特定威胁可能产生的影响有多大,应该知道哪些威胁更严重。并且根据对自己所在企业的影响来确定优先顺序。”
4.忽略安全培训
Lexmark International公司首席信息安全官Bryan Willett认识到,修补Linux系统所需的技能与修补Windows所需的技能不同,而这些技能也不同于在其漏洞管理程序中执行其他任务所需的技能。
此外,他的安全工作人员对漏洞管理所需的知识与IT工作人员在实际系统中进行修补所需的知识不同。
他说,“所以我希望这些团队接受必要的培训,以承担起他们的责任。”
但安全领导者表示,并非所有企业都致力于提供员工所需的持续安全教育,以提供世界一流的安全性,更具体地说是强大的漏洞管理功能。专家表示,企业有时会低估漏洞管理任务所需的专业化程度,或者他们忽略了对员工进行自身企业内使用的特定系统或工具进行培训的必要性。
Willett补充说,“每个人都需要记住的是,员工想要做正确的事情,但我们必须对他们进行投资,让他们能够做正确的事情。”
5.未能跟踪代码
Linux基金会的研究表明,越来越多的企业正在使用软件材料清单(SBOM)来更好地理解他们系统中的所有代码。更具体地说,该报告表明,47%的企业正在生产或使用软件材料清单(SBOM),78%的企业预计将在2022年生产或使用软件材料清单(SBOM)(高于2021年的66%)。
尽管这些数字显示软件材料清单(SBOM)的使用有所增加,但它们仍然表明许多企业可能无法了解其IT环境中的所有代码。Lai表示,缺乏可见性限制了他们了解自己是否存在需要解决的漏洞的能力。
他说,“你必须知道有什么代码和什么开源组件,所以当像Log4J这样的漏洞出现时,就知道它存在的所有地方。”
6.推迟升级
专业服务商普华永道公司网络与隐私创新研究所负责人Joe Nocera表示,尽管漏洞管理是一项永无止境的任务,但可以通过解决技术债务将其纳入更有效的计划中。
正如Nocera解释的那样:“越能淘汰旧版本或在标准堆栈上整合,就越不需要管理漏洞。这就是我认为简化和整合是可以获得的最佳力量倍增器的原因。”
Nocera承认,淘汰遗留系统和解决技术债务当然不会消除漏洞。但是摆脱遗留系统确实会消除一些工作,它可以让企业摆脱不再能够打补丁的系统,从而降低风险。
他说,通过解决这些问题,安全团队及其IT同行可以将重点转移到解决剩余的优先事项上,从而使该计划更加有效和有影响力。
尽管这种方法有诸多好处,但许多企业并没有将其作为优先事项:远程监控和管理云平台制造商Action1公司发布的2022年端点管理和安全趋势报告发现,只有34%的受访者计划专注于消除他们已采用云计算替代品取代的风险遗留软件。
7.忽略有关新兴威胁的新闻
关于新漏洞或新出现威胁的最初警告通常来自缺乏大量细节的简短公告。尽管这些早期报告附带的信息有限,但安全团队不应该忽视它们的重要性。Lai表示,事实上,跟踪来自各种安全来源的新闻和头条以了解即将发生的事情至关重要。
他说,“你想关注即将发生的事情。他们可能不会提供任何细节,但这种类型的情报可以帮助企业更好地做好准备,可以开始工作或做好计划。”
8.应对每个新的威胁
另一方面,Forrester Research公司高级分析师Erik Nost警告首席信息安全官,不要在没有首先评估突发新闻是否会影响到他们自己的企业,以及影响到多大程度的情况下对突发新闻做出反应。
他说,“许多首席信息安全官仍在学习如何处理零日漏洞以及成为新闻头条的漏洞,这些漏洞的出现频率越来越高。梳理一些耸人听闻的新闻,以及哪些漏洞对他们的企业构成实际威胁是一项挑战,但要求团队修复他们收件箱或首席执行官在新闻头条中看到的所有内容并不是正确的方法。”
Nost指出,康奈尔大学最近的一项分析表明,高级持续性威胁(APT)比零日漏洞更有可能利用已知漏洞。因此,Nost说,“首席信息安全官还应该考虑威胁行为者,并考虑高级持续性威胁(APT)是否可能针对他们的企业进行攻击。”
他说,安全团队应该将主动攻击视为更好的优先考虑因素,而不是媒体谈论的内容。
Nost补充说,“团队的时间紧迫。如果他们试图修补出现在Twitter上的每个漏洞,那么他们就没有根据他们可接受的风险偏好积极评估特定于他们企业的风险,并修复作为最大威胁的漏洞。如果存在成为新闻头条的零日漏洞或漏洞,可能仍需要采取行动,因此其团队应该制定有关如何评估威胁的程序。只需记住遵守既定的行动手册、风险偏好和威胁分析程序。”
9.依赖过时的信息
Gartner公司的调查显示,大多数董事会成员现在将网络安全视为一种风险,而且还发现大多数(57%)董事会成员在2021~2022年期间增加或预计增加风险偏好。与此同时,每年新发现的漏洞数量继续增长。传统企业的IT环境也在不断发展。
专家表示,这些要点表明,首席信息安全官需要制定流程,重新审视和审查其计算方法,以确定漏洞缓解和补救的优先级。
Gray说,“很多时候,企业并不擅长管理漏洞的生命周期,而漏洞数量一直在增长,并且不断变化,这是需要不断关注的事情。”
10.没有将安全嵌入到开发过程中
Nocera表示,将安全和安全设计原则嵌入到开发过程中的企业并不多,这导致首席信息安全官和首席信官错失了为他们的企业共同构建更强大的漏洞管理计划的机会。
Nocera说,将安全性更早地引入开发过程(或“左移”),可以让首席信息安全官在代码投入生产之前提前解决安全问题,所以不会在环境中引入已知的漏洞。
Nocera说,左移不一定会减少漏洞管理工作的数量,但就像消除遗留系统和技术债务一样,它确实可以释放资源,以便团队可以优化他们的漏洞管理工作。