制订定期的漏洞扫描计划
很多企业认为,临时扫描漏洞并进行修复已经足够了,但这样既低效又不能充分保护网络。为了防止网络攻击通过漏洞进行,企业应该采用程序化方法进行漏洞管理,这个方法结合了企业对风险的容忍度以及确定优先级、补救和缓解已识别漏洞的流程。
这有助于确保进行有效的监督,并将漏洞管理与企业内部的任何其他业务风险一样对待。
审视风险和优先事项
企业需要常常审视自身能承受的安全风险,并确定优先事项,以提高企业的风险承受能力,并建立工作优先顺序的流程,对于强大的脆弱性管理计划都至关重要。应该至少每年都重新访问一次,也可以在企业内部或IT环境发生重大变化时访问。
根据企业自身的风险进行定制
企业会不断发现新的漏洞,再加上现有已知漏洞,不可能一次性修复这些问题。企业需要找到一种方法来查明最重要的漏洞并确定修复工作的优先顺序是至关重要的,这项工作可以由漏洞扫描、供应商和其他安全渠道提供的分类(高、中、低)指导,但该过程应考虑企业对风险的容忍度、技术环境、行业等。
使用框架和系统
企业无需自己独立开发技术来帮助完成漏洞管理任务,因为很多企业已经开发了框架和其他系统来帮助首席信息安全官进行管理。这些框架和系统可以帮助企业查看安全漏洞,并了解网络攻击者如何使用它们的方法,因此可以使用框架和系统来确定漏洞和其响应的优先级。
首席信息安全官要向企业员工宣传掌握安全基础的必要性,他们在努力建立一个稳健的漏洞管理计划。其计划可能会因需要关注的漏洞数量、解决漏洞所需的速度或有效所需的资源而受到阻碍。
例如,考虑一下安全团队在解决Log4j漏洞方面所面临的挑战。由经过认证的网络安全专业人员组成的非营利性协会(ISC)2最近的一项调查发现,52%的受访者花费数周或一个月以上的时间来修复Log4j漏洞。
诚然,Log4j漏洞的影响范围很大,但安全专家表示,这一数字以及其他研究和他们自己的调查表明,许多企业仍在完善他们用来识别、确定优先级和修复软件中的安全问题的流程。
以下一些最佳实践有助于构建高效的漏洞管理计划:
1.了解自己的环境
安全专家强调,首席信息安全官需要准确了解他们需要保护的技术环境;这有助于他们了解他们的技术堆栈中是否存在已知和新发现的漏洞。
然而,这说起来容易做起来难。网络安全培训机构SANS Institute公司的认证讲师、安全技术商Scythe公司的首席技术官以及C2 Matrix项目的共同创建者Jorge Orchiles说,“每个人都说他们有安全措施,但通常需要更深入一点。他们不知道幕后发生了什么。这仍然是最大的挑战。”
他说,已经看到成熟的安全操作占其环境的主要组成部分,但却忽略了较小的元素和代码本身,这种疏忽可能留下了未修补的关键漏洞。
Orchiles建议网络安全领导者确保他们拥有技术环境的详细记录,其中包括编程库等所有组件(事实证明,这些组件对于修补Log4j漏洞的企业至关重要)。此外,每当推出一个新系统时,首席信息安全官带来的团队必须不断地更新该记录。
2.制定一个真正的计划(不仅仅是临时工作)
扫描漏洞并修复出现的任何漏洞似乎足够了,但安全专家表示,临时方法既低效又不充分。例如,安全团队花费宝贵的时间修补对其企业构成有限威胁的漏洞,而不是优先考虑高风险问题。或者他们忙于完成其他项目并推迟漏洞管理工作,直到他们有空闲的时间。
TCE Strategy公司首席执行官Bryce Austin表示,为了防止这种情况发生,首席信息安全官应该采用程序化方法进行漏洞管理,该方法结合了企业对风险的容忍度以及确定优先级、补救和缓解已识别漏洞的流程。
该计划还应确定企业执行漏洞扫描的频率,并应包括与供应商补丁发布日期相关的时间表。
咨询机构Protiviti公司的技术风险、IT审计和网络安全服务董事总经理兼ISACA纽约大都会分会主席Farid Abdelkader补充说,一个良好的漏洞管理计划应该有明确的流程和政策、特许团队和治理。
Abdelkader还建议首席信息安全官使用可以显示其执行情况的关键绩效指标,来确定良好的外观,确定需要改进的领域,然后指示随着时间的推移取得的进展。
《足够安全吗?面向企业主和高管的20个网络安全问题》一文的作者Austin表示,拥有成熟漏洞管理计划的企业有一个向企业高管报告其活动的流程,以便他们了解该计划的重要性及其跟踪记录。他指出,这有助于确保进行有效的监督,并将漏洞管理与企业内部的任何其他业务风险一样对待。
3.根据企业自身的风险进行定制
企业需要不断发现新的漏洞,再加上现有已知漏洞,几乎不可能修复这些问题。Abdelkader说,企业找到一种方法来查明最重要的漏洞并确定修复工作的优先顺序是至关重要的。
Abdelkader说,“企业了解事件的严重性。询问如果出现漏洞怎么办?这对数据有何影响?或者如果系统出现故障?这会对企业的业务、客户或声誉产生什么样的影响?企业需要了解这些资产的真正风险以及这些事情发生的实际风险。”
这项工作可以由漏洞扫描、供应商和其他安全渠道提供的分类(高、中、低)指导,但该过程应考虑企业对风险的容忍度、技术环境、行业等。
他解释说,“它必须与企业、关键资产和资源、数据、计算机或系统对关键威胁的暴露程度有关。”
他指出,作为一个孤立的系统,所面临的风险与当前的系统不同;因此,每个人都应该获得与自身风险相对应的不同级别的补救优先级。
不过他补充说,这种基于企业自身风险状况的定制和优先排序并不总是会发生。他说,“我看到很多漏洞管理项目都是从一个列表开始的,该列表列出了漏洞扫描发现的内容,以及对企业实际存在的关键风险,以及真正关心的问题。”
4.重新审视风险和优先事项
提高企业的风险承受能力,并建立工作优先顺序的流程,对于强大的脆弱性管理计划都至关重要。但这些任务不能被视为一项已完成的任务。
Austin补充说,他们应该至少每年都重新访问一次,也可以在企业内部或IT环境发生重大变化时访问。
5.使用框架和系统
MITRE Engenuity技术基金会威胁情报防御研究与开发中心的联合创始人兼代理主任Jon Baker表示,企业无需自己独立开发技术来帮助完成漏洞管理任务,因为很多企业已经开发了框架和其他系统来帮助首席信息安全官进行管理。
Bake说,“这些框架和系统可以帮助企业查看安全漏洞,并了解网络攻击者如何使用它们的方法,因此可以使用框架和系统来确定漏洞和其响应的优先级。”
MITRE Engenuity技术基金会拥有其通用漏洞和暴露(CVE)系统,该系统自1999年以来一直提供有关公开已知漏洞和暴露的信息(正如其名称所述),并具有与这些漏洞相关联的特定代码库版本。还有NIST特别出版物800-30,企业可以使用它来进行风险评估。
此外,还有通用漏洞评分系统(CVSS),这是一个开放框架,企业可以使用它来评估安全漏洞的严重性,以便可以根据威胁级别对它们进行优先级排序。
MITRE Engenuity技术基金会还拥有其ATT&CK框架(利用CVE),企业可以使用该框架来确定需要他们注意的漏洞的优先级,作为全面的威胁知情防御策略的一部分。
6.考虑直接供应商、第三方引入的漏洞
下一页 (1/2)
回帖(2):