日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯網營銷解決方案
可見、可用、可考量——企業(yè)高效漏洞管理的目標與實現

隨著企業(yè)數字化的深入推進,今天的企業(yè)組織已經普遍認知到解決IT環(huán)境中漏洞威脅的重要性,但許多企業(yè)仍然缺乏科學有效的漏洞管理計劃與能力。網絡安全培訓和認證機構SANS研究所進行的一項調查發(fā)現,超過39%的受訪企業(yè)在面對網絡漏洞風險時,要么只有非正式的處理手段,要么根本沒有任何計劃。

今年初,美國聯邦貿易委員會(FTC)就解決Log4j問題向商業(yè)界發(fā)出正式通告,并警告稱:相關企業(yè)需要立刻采取措施應對,如不能及時采取漏洞修補措施,而造成個人信息的丟失或泄露、財務損失和其他不可逆轉的傷害時,企業(yè)及責任人將會受到相關法律的問責和訴訟,包括《聯邦貿易委員會法》和《格雷姆·里奇·比利雷法案》(Gramm Leach Bliley Act)等。

在我國,由公安部、工業(yè)和信息化部、國家互聯網信息辦公室聯合制定的《網絡產品安全漏洞管理規(guī)定》已于去年9月正式實施,《規(guī)定》中明確要求,網絡產品提供者和網絡運營者是自身產品和系統(tǒng)漏洞的責任主體,要提高相關主體的漏洞管理水平,建立暢通的漏洞信息接收渠道,及時對漏洞進行驗證并完成漏洞修補,防范網絡安全重大風險事件發(fā)生。

在網絡世界中,安全漏洞將會長期存在,所謂的安全性不僅是指“安全”或“不安全”,而是還取決于企業(yè)發(fā)現漏洞并進行響應的速度,只有通過科學的手段實現高效漏洞管理,網絡系統(tǒng)才會變得更加安全與健壯。

企業(yè)漏洞管理能力演進

大量數據和案例表明,雖然漏洞評估和管理工具不斷豐富,但是企業(yè)的漏洞管理計劃與工作依然有很多可改進的地方,例如,人才資金匱乏、缺乏對漏洞風險的預測感知能力、企業(yè)信息化孤島和部門協同、漏洞修復效率低下等。與此同時,漏洞風險正隨著攻擊技術的快速提升而增加。

對于企業(yè)安全團隊,可以通過一套漏洞管理成熟度模型來衡量企業(yè)組織目前的漏洞管理水平,漏洞管理成熟度模型主要包括如下5個階段:

漏洞管理成熟度模型示意圖

1. 初始階段

處在這一階段的公司企業(yè)要么沒有任何漏洞管理措施,要么只做臨時性的測試。

2. 已管理階段

處于這個階段的企業(yè)可以自發(fā)在內部開展漏洞掃描工作,每周或者每月固定開展,但是往往是為了應對外部監(jiān)管。

3. 已定義階段

該階段的漏洞管理工作為公司所理解,也受到公司管理層的一定支持,漏洞掃描更為頻繁,但是專業(yè)工具應用還比較有限。

4. 量化管理階段

處在這一階段的公司企業(yè)有可量化、可度量的指標,定義可接受的風險水平。

5. 優(yōu)化管理階段

在這一階段,使用第四階段定義的度量指標用實現管理提升和優(yōu)化,所有的優(yōu)化指標都用于減少組織的受攻擊面。

高效漏洞管理的12個步驟

對于企業(yè) CSO 和 CIO 來說,在投資或者選擇新的漏洞管理或脆弱性風險管理相關工具產品和方案之前,都首先需要明確一點,你如何判斷漏洞管理項目的有效性?如何成功實施漏洞管理項目?很多時候,漏洞管理不僅僅是一個技術問題而是企業(yè)綜合管理問題,它應該是程序化的,包含計劃、行動、協同、問責和持續(xù)改進。以下梳理總結了企業(yè)開展高效漏洞管理的12個步驟與建議:

1. 組建可信賴的專業(yè)安全團隊

開展有效的漏洞管理涉及多個方面,從定期的滲透測試到全面的企業(yè)漏洞管理,任何一個疏漏都可能導致危害發(fā)生。因此,需要一個專業(yè)、可靠的安全團隊來進行保障。在這個安全團隊中,除了要配置負責漏洞管理及修補的安全分析師,還要涵蓋其他業(yè)務利益相關者,例如數字化業(yè)務部門的員工,他們可以說明在對業(yè)務系統(tǒng)進行處置時,企業(yè)組織可能面臨的影響,這樣團隊可以更好地制定并實施漏洞管理工作計劃。

2. 以全面的資產發(fā)現為基礎

對于企業(yè)組織的安全團隊而言,掌握最新的IT資產清單是開展有效漏洞管理計劃的基礎要求,這已經成為共識,但實踐起來卻非常困難。尤其是在當今的企業(yè)環(huán)境中,物理設備、遠程終端、物聯網組件、云服務、軟件即服務(SaaS)和開源代碼組件等大量系統(tǒng)和應用充斥其中,想要獲取一份全面并能及時更新的資產清單非常困難。雖然實踐難度大,但這一切都是必須考慮并實現的。

3. 提升網絡可見性

有了全面的資產清單,下一步行動就是要通過了解企業(yè)IT環(huán)境的互連性、數據流動和集成環(huán)境來大力追求網絡的可見性。對漏洞管理范圍的任何限制都會增加可見性風險。因此,必須將資產發(fā)現作為任何漏洞管理程序的核心組件。如果漏洞管理項目未能覆蓋某些資產或特定業(yè)務領域,那么它在降低風險方面的效用也會大打折扣,因為相比已知威脅,防范未知風險的挑戰(zhàn)會更大。同樣,如果資產發(fā)現不是連續(xù)或者高頻的,也會存在過時或失真風險。

4. 更積極地掃描漏洞

研究機構Veracode調查顯示,掃描頻率較高的企業(yè)在補救漏洞方面往往要快得多,每天進行漏洞掃描所需的漏洞修補平均時間僅為19天,而每月掃描一次或更少的企業(yè)組織則為68天。但有一點需要明確,掃描頻率不是越高越好,而應該是合理的。理想的狀態(tài)是掃描頻率與修復節(jié)奏同步,而且在變更時能夠自動執(zhí)行掃描。同時,為了取得更好的掃描效果,企業(yè)除了運行更常用的基于代理的軟件和網絡掃描程序外,還應該包括憑據掃描、弱配置掃描和缺失補丁搜索等。

5. 完善漏洞管理工作流程

查找和評估漏洞風險的目的并不是出一個漂亮的報告。關鍵是要制定更好的風險緩解決策,關鍵是要采取行動解決問題,交付結果。企業(yè)必須將有效的漏洞管理程序與補救工作流集成在一起,才能有效推動企業(yè)的漏洞管理水平,但難點是企業(yè)內部工作流往往數量眾多,集成存在相當。成熟、完善的漏洞管理計劃需要具備有記錄且深思熟慮的工作流程。此外,為了更好的協同工作,企業(yè)還應該制定一個通用的操作圖,為所有從事漏洞管理的團隊成員提供相同的數據和情報信息。

6. 建立并跟蹤關鍵效果指標

想要驗證漏洞管理控制措施的有效性和執(zhí)行情況,最好的方式就是有指標來衡量目前的漏洞管理工作成效。企業(yè)可以使用目前常用的關鍵績效指標,例如及時修復的關鍵漏洞百分比和未及時修復的關鍵漏洞百分比來衡量當前狀態(tài)并跟蹤一段時間內的改進情況,其他可用的KPI指標還包括庫存資產百分比、檢測時間、平均修復時間、漏洞導致的事件數量以及漏洞重啟率等考核參數。

7. 行業(yè)安全基準分析

跟蹤KPI可以掌握自身企業(yè)的漏洞管理計劃是否隨著時間的推移而改進,但還需要衡量行業(yè)中其他公司的管理水平與能力?;鶞驶治龇?Benchmarking)可以幫助企業(yè)比較自身與同行和競爭對手的漏洞管理表現,它還可以向公司管理層證實目前的漏洞管理計劃是有效的。它甚至可以作為公司業(yè)務在市場競爭中的差異化因素,幫助企業(yè)提升業(yè)務收入的增長。

8. 利用合法的第三方測試服務

目前,很多公司已經將漏洞賞金計劃視為管理漏洞的重要組成部分,利用道德黑客可以從另一個視角幫助企業(yè)發(fā)現安全漏洞問題,這確實是解決問題的一種有效方法。而對于規(guī)模較小或專業(yè)能力有限的組織來說,也可以建立一個內部漏洞賞金計劃以獎勵發(fā)現漏洞的所有內部員工,或者與提供此類服務的外部各方或網絡安全公司合作,以充分利用更多的專業(yè)知識。

9. 合理設定期望并實時調整

常見漏洞和暴露(CVE)列表中公開披露的計算機安全漏洞數量正在持續(xù)增長,鑒于漏洞數量如此龐大,研究機構建議企業(yè)組織應該提前明確優(yōu)先事項,并將漏洞管理計劃重點放在他們實際計劃解決的漏洞上。如果一個組織只計劃解決評級高的漏洞,為什么還要掃描低風險的漏洞呢?但是,漏洞管理計劃不能忽略公司數字業(yè)務環(huán)境的特點和需求,不能因為 “抓大放小”而漏掉導致業(yè)務損失的 “小” 風險。高效漏洞管理的修復工作優(yōu)先級,需要將漏洞放在業(yè)務環(huán)境和系統(tǒng)環(huán)境進行考量。

10. 得到公司管理層的支持與認可

企業(yè)安全團隊早就知道解決IT環(huán)境中的漏洞有多么重要,而鑒于漏洞引發(fā)的安全事件及其危害性不斷增加,很多企業(yè)的管理層也逐漸意識到了這項任務的重要性。公司管理層的態(tài)度對于漏洞管理項目來說意義重大,要讓高層心悅誠服而不是將信將疑地口頭表示 “支持”。具體來說,企業(yè)的項目計劃能贏得領導多大程度的支持,很大一部分取決于漏洞管理項目本身效果的“可視化”程度。如果成敗的價值差異或者嚴重程度不足以打動領導,那么漏洞安全管理的預算與實施自然也是可有可無。

11. 明確漏洞管理工作的責任人

要擁有高效的漏洞管理計劃,組織必須制定明確的工作負責人,否則一旦出現問題,團隊中的每個人都會互相推諉。頭洞管理負責人不一能是CISO,因為他們通常沒有足夠時間跟蹤KPI和管理團隊。大型企業(yè)通常有足夠的漏洞管理工作來設置一個全職的漏洞管理負責人角色,但中小型公司也應將這種工作職責明確賦予到一個具體的責任人。

12. 將激勵措施與計劃改進、效果相結合

除了為計劃分配責任外,組織還應該建立激勵措施,例如與改進KPI相關的獎金。而且,不僅要激勵負責漏洞修補的團隊,還要激勵整個組織的利益相關者。這些激勵措施可以以額外補償、獎金、休假或其他被認可的形式進行。


文章標題:可見、可用、可考量——企業(yè)高效漏洞管理的目標與實現
本文網址:http://www.dlmjj.cn/article/dpieihi.html