没有正确的衡量标准,漏洞管理就毫无意义。如果你没有测试,你怎么知道它起作用呢?那么,你怎么知道该专注于什么呢?这份清单可能是没完没了的,而且很难知道什么才是真正重要的。
在本文中,我们将帮助你确定跟踪漏洞管理计划状态并创建审计就绪报告所需的关键指标,其中包括:
- 证明你的安全状态
- 满足漏洞补救SLA和基准
- 帮助通过审核和合规
- 展示安全工具的投资回报
- 简化风险分析
- 确定资源分配的优先顺序
为什么漏洞管理需要衡量标准
通过测试查找、区分优先级和修复漏洞的速度,企业可以持续监控和优化企业网络的安全性。有了正确的衡量标准,你可以确定哪些问题是关键问题,确定优先解决哪些问题,并衡量你的绩效。归根结底,正确的指标使你能够做出适当的知情决策。
智能优先级排序
没有优先顺序和建议,你从哪里开始呢?对最关键的漏洞进行优先级排序和修复比简单地找到每个漏洞更重要。
智能优先排序和过滤噪音非常重要,因为当你被非必要的信息淹没时,忽略真正的安全威胁太容易了。智能结果可以优先处理对你的安全有实际影响的问题,而不会给你带来不相关的结果负担,从而使你的工作更轻松。
对使你的面向互联网的系统暴露的问题进行优先排序,可以最大限度地减少你的攻击面。入侵者通过解释风险并提供可行的补救建议,使漏洞管理变得容易。
是时候解决问题了
你希望能够尽快解决问题。尤其是在攻击者发现和利用漏洞之间的平均时间只有12天的情况下。入侵者解释来自各种扫描仪的输出,并根据上下文确定结果的优先顺序,从而节省你专注于真正重要的事情的时间。修复问题需要多长时间取决于你自己,这会给你一个关于你的“网络卫生”的最新快照--扫描覆盖范围,六个月内修复问题所需的时间,以及整体修复问题的平均时间。
每个漏洞管理计划的3个顶级指标
扫描覆盖范围
你在追踪和扫描什么?扫描覆盖范围包括你要覆盖的所有资产以及对所有业务关键型资产和应用程序的分析,以及提供的身份验证类型(例如,基于用户名和密码的身份验证或未经身份验证的身份验证)。
平均修复时间
你的团队修复你的关键漏洞所花费的时间显示了你的团队在对任何报告的漏洞做出反应时的响应程度。这一比例应始终较低,因为安全团队负责解决问题,并向管理层传递补救信息和行动计划。
风险分值
每个问题的严重性由你的扫描仪自动计算,通常为严重、高或中等。如果你决定不在指定时间段内修补特定或一组漏洞,这是对风险的接受。对于入侵者,如果你愿意承担风险,并且有缓解因素,你可以暂停一个问题。
你需要用什么指标来向管理层展示?
你想要报告的指标取决于你向谁报告。如果是首席技术官或高级管理层,他们只想知道业务受到保护,他们正在获得投资回报。例如,是否有任何新的关键问题,修复的速度有多快,还有多少问题仍未解决(以及原因)。
确保所有东西都准备好了
你是否正在从你的IT环境中的每一项资产中获取一切?像Intruder这样的现代扫描仪提供自动化的审计就绪报告,但重要的是知道你的所有数字资产在哪里,以避免盲点、未打补丁的系统和不准确的报告-这就是资产发现对于成功的漏洞管理不可或缺的原因。通过确保覆盖你的所有数字资产,你可以验证在你的最关键系统的补救计划中应优先考虑哪些内容。
漏洞管理指标走向何方?
平均检测时间
这就是漏洞公之于众的关键所在,因为我们已经扫描了所有目标并检测到了漏洞。从本质上讲,检测整个攻击面的漏洞以减少攻击者的机会窗口的速度有多快。
攻击面可见性
很少有人足够幸运地控制并100%看到他们的攻击面。这就是攻击面发现的用武之地。你将拥有你知道的或你已经找到的资产的总数,但其中有多少被漏洞管理计划覆盖?你希望看到的是你的漏洞管理程序在整个攻击面上保护的资产的百分比,无论是已发现的还是未发现的。
平均通知时间
优先排序-或智能结果-对于衡量和帮助你决定首先解决哪些问题越来越重要,因为它们会对业务产生影响。
展望未来:是时候修正了
你希望正确的人——那些真正解决问题的人——尽快获得他们需要的信息。这意味着包括基于角色的访问控制(RBAC)等功能,它可以将修复时间从几小时或几天减少到几分钟左右。
衡量和分析的要素
衡量和分析的要素为利益相关者和合规性审核员提供审核就绪报告,其中包含优先处理的漏洞以及与你的问题跟踪工具的集成。查看易受攻击的内容,并获得管理网络风险所需的确切优先级、补救措施、洞察力和自动化。