那是2003年,我在芝加哥的一次行业会议上进行了我的首次网络安全演讲。我谈到了当时肆虐的蠕虫和病毒(如MSBlast、SQLSlammer等),并向听众强调了强大漏洞和补丁管理的重要性。
到了问答环节,一位听众总结了他的困境,并抛出了一个非常尖锐的问题:“我们同时面临着数千个漏洞。我们如何确定哪些漏洞的优先级?”
我笼统地回答:“基于已知的企业威胁进行优先级排序”或“基于资产的业务关键性进行优先级排序”。这个答案是准确但模糊的。20多年过去了,这位听众的困境和问题仍然困扰着许多企业。
然而,发生变化的是问题的规模。2003年,大型企业面临数千个活跃漏洞。如今,他们面临的漏洞数量已达数十万甚至更多。与此同时,许多企业仍面临多年前的同样挑战——缺乏经验丰富的员工、手动流程、安全团队与其他团队(IT运营、软件开发)目标不一致等。
由于现代企业依赖软件运行,漏洞管理不善会带来严重的业务风险。那么,CISO们是如何改进他们的计划以更好地减轻风险的呢?在过去几个月里,我与十几位安全高管进行了交谈以找出答案。虽然我做了大量相关笔记,但他们的回答归结为了以下十个最佳实践。
漏洞管理的十个一致最佳实践
1. 文化
成功的漏洞管理计划始于在整个企业内建立注重网络安全的文化。许多CISO承认,他们面临过历史遗留的文化问题,其中一位对此进行了很好的总结。“我们的网络安全文化曾经非常随意,直到我们遭遇了Log4J漏洞和勒索软件攻击,”他告诉记者。“这些事件让CEO和董事会如梦初醒。他们聘请了我,调整了预算,并承诺将采取必要措施。”在这种文化转变中,改进漏洞管理成为首要任务。
2. 文档记录
大多数CISO都同意,漏洞管理的各个阶段都应得到妥善记录、评估和审查。这是对他们长期以来存在的漏洞管理问题没有快速解决方案的重要认识。
相反,企业必须深入漏洞管理生命周期的每个阶段,寻找效率低下之处,制定改进策略,并确定衡量进度的正确指标。CISO们还明白,这项工作没有终点,但可靠的记录有助于所有阶段持续改进,一刻不停。
3. 制定流程
我交谈过的大多数CISO都大量借鉴了现有框架,但根据他们的业务、行业和企业需求进行了定制。一旦制定完成,标准漏洞管理流程便可在整个企业中推行,并对其进行持续监控以寻求改进。
一位CISO提到,她的企业在此基础上更进一步——在收购一家公司后,安全团队有一个现成的计划,可以将被收购公司的漏洞管理计划转变为符合其既定模型的计划,其中还包括衡量进度的指标。
4. 明确必要的安全数据
需要明确的是,这首先不是技术盘点工作。CISO们评估他们拥有哪些数据,并将其与所需数据进行比较。有了这些知识后,他们就可以指派员工去寻找能够填补空白的技术。
5. 将集成嵌入到漏洞管理中
这同样是一个学术性而非技术性的项目。它始于了解谁需要什么数据,以及这些数据来自哪里。一旦个人收到正确的数据,他们会怎么处理这些数据?假设这一切都进展顺利,数据分析是否会触发自动或手动操作?在映射了所有“输入”和“输出”组件后,CISO们通常会邀请供应商合作伙伴参与审查。目标是什么?让他们参与进来,使用必要的连接器、API和数据格式,将设计变为现实。
6. 确定用于优先排序的正确指标
这直接回应了我在2003年被问到的问题。这也是漏洞管理与暴露管理相结合的地方,一切都与背景有关。漏洞资产的业务价值是什么?漏洞资产是否处于攻击路径上?是否有补偿控制措施到位?补偿控制措施最近是否经过测试?
我知道这似乎是一个显而易见的步骤,但我交谈过的CISO们已经将这一步骤以及更多因素纳入了一个定制的风险评分系统中,这是整个计划的核心。
7. 建立服务级别协议(SLA)规范
优先级层次结构与安全、IT、软件开发和第三方风险管理团队之间严格的SLA相结合。例外情况很少见。许多企业在团队错过SLA截止日期时还有正式的审查流程。同样,这里也需要持续改进。
8. 制定紧急补丁程序
Log4Shell和SolarWinds等事件给许多CISO敲响了警钟,他们意识到自己的企业在应对这类紧急事件时毫无准备。这一认识促使CISO们创建、组建团队并测试专为这类事件设计的应急响应计划。
一位CISO说:“虽然我对我们过去事件的应对感到自豪,但多名团队成员连续几周疲惫不堪,离职率也飙升。我们不能总靠英雄式的人物,我们需要一个可以依赖的系统化程序。我希望没有‘下一次’,但如果有,我们将更有准备。”
9. 使不同团队的目标、指标和薪酬保持一致
漏洞管理依赖于拥有强大沟通能力、一致指标和共同目标的跨职能团队——这是人员方面的因素。
这始于上文讨论的致力于网络安全文化的承诺,但我交谈过的CISO们还与CIO、业务经理和人力资源人员合作,创造了正确的工作流程、自动化、报告、信息传递,甚至员工薪酬福利,以激励不同群体和个人之间的合作。当CISO与CIO定期携手合作,发现瓶颈并审查进度时,安全工作会变得更加有效。
10.通过持续有效性测试加强漏洞管理
多年前,我创造了一个笨拙的缩写SOPV,代表安全可观测性、优先级排序和验证。这个缩写并未流行起来,但我交谈过的CISO们已经接受(或正在接受)连续安全验证测试的概念。
当然,验证是漏洞管理生命周期的一个阶段,那么发生了什么变化?许多公司已经从定期渗透测试转向使用新工具或托管服务的连续安全测试。MITRE将此称为基于威胁的防御。通过这种方式,企业不仅可以验证漏洞修复情况,还可以测试控制措施的有效性,并为检测规则工程提供蓝图。
CISO们还有许多其他战争故事和建议,但无论企业规模、位置或行业如何,上述十个建议都非常普遍。最后,我要报告另一个共同点:用网络安全领域一个常见的比喻来说,CISO们意识到,强大的漏洞管理是一场非线性之旅,而不是终点。
换句话说,这项工作永远没有完成的时候,而是要不断寻求改进每一步和每一项任务。要保护现代企业,总有大量工作要做,但这就是现实。
