在組織內(nèi)部建立良好的信息安全計劃的關(guān)鍵，是要擁有一個良好的漏洞管理計劃。大多數(shù)(如果不是全部的話)監(jiān)管政策和信息安全框架都建議，將強大的漏洞管理計劃作為組織在構(gòu)建其信息安全計劃時應(yīng)該做的第一件事?；ヂ?lián)網(wǎng)安全中心也特別將其列為“Top 20 CIS控制”中的第三名。

[[244103]]

多年來，我看到過各種不同的漏洞管理計劃，并與許多在VM程序中具有不同成熟度的公司合作。本文將概述基于能力成熟度模型(CMM)的五個成熟階段，來讓您了解如何使您的組織更上一層樓，達(dá)到下一個成熟度階段。

什么是能力成熟度模型(CMM)?

CMM是一種模型，可幫助以漸進(jìn)和可定義的方法來開發(fā)和優(yōu)化流程。有關(guān)該模型的更多詳細(xì)信息，請點此鏈接查詢。以下為CMM的五個階段：

第1階段：初始

在漏洞管理計劃的初始階段，通常沒有或只有很少的流程和程序。漏洞掃描由第三方供應(yīng)商完成，作為滲透測試或外部掃描的一部分。根據(jù)審核員或相關(guān)監(jiān)管要求，這些掃描通常每年進(jìn)行一到四次。

執(zhí)行漏洞掃描的供應(yīng)商將提供組織內(nèi)漏洞的報告。然后，組織通常會修復(fù)所有嚴(yán)重或高危級別的漏洞，以確保自身保持合規(guī)性。一旦取得及格分?jǐn)?shù)，剩下的信息就會被歸檔處理。

正如我們在過去幾年中所看到的那樣，安全性不能僅僅被視為合規(guī)性的復(fù)選框(checkbox)。如果您仍處于這一階段，那么您可能會成為攻擊者的主要目標(biāo)。如果您尚未開始能力成熟度模型，那么建議您盡快完全這第一階段。

第2階段：管理

在漏洞管理程序的管理階段，漏洞掃描是在內(nèi)部進(jìn)行的。組織內(nèi)部定義了一組漏洞掃描程序。他們會購買一個漏洞管理解決方案，并開始每周或每月掃描一次。在運行未經(jīng)身份驗證的漏洞掃描時，安全管理員會從外部角度查看漏洞。

在這個階段，我看到的大多數(shù)組織都沒有得到高層管理人員的支持，因此掌握的預(yù)算也就十分有限。這導(dǎo)致組織只能去購買相對便宜的解決方案，或使用免費的開源漏洞掃描程序。雖然低端解決方案確實提供了基本的掃描功能，但它們的數(shù)據(jù)收集、業(yè)務(wù)環(huán)境和自動化的可靠性也會受到限制。

使用低端解決方案可能會出現(xiàn)不同的問題。首先是漏洞報告的準(zhǔn)確性和優(yōu)先級。如果您向系統(tǒng)管理員發(fā)送包含大量誤報的報告，您將立即失去他們的信任。因為他們和其他所有人一樣，工作非常忙碌，所以他們希望能夠有效地、最大限度地利用自己的時間。由此，可靠準(zhǔn)確的報告對于確保及時進(jìn)行補救至關(guān)重要。

第二個問題是，即便驗證了漏洞確實是易受攻擊的，又將如何確定哪些漏洞應(yīng)該優(yōu)先進(jìn)行修復(fù)呢?大多數(shù)解決方案會按高，中，低或1-10分來分類評級。由于系統(tǒng)管理員擁有的資源有限，他們一次只能修復(fù)幾個漏洞。他們?nèi)绾未_定哪個“高”更高?哪個10分更為緊迫?如果沒有適當(dāng)?shù)膬?yōu)先級，這可能是一項艱巨的任務(wù)。當(dāng)然，諸如CVSS之類的行業(yè)標(biāo)準(zhǔn)對于共同的通信機制是有必要的。除此之外，能夠優(yōu)先排序則提供了巨大的價值。

第3階段：定義

在漏洞管理計劃的定義階段，整個過程和程序都已經(jīng)具備了良好的特征，且在整個組織中得到了很好的理解。信息安全團隊也已經(jīng)得到了執(zhí)行管理層的支持以及系統(tǒng)管理員的信任。

在此階段中，信息安全團隊也已經(jīng)證明，他們選擇的漏洞管理解決方案對于在組織的網(wǎng)絡(luò)上進(jìn)行掃描是可靠且安全的。根據(jù)互聯(lián)網(wǎng)安全中心的建議，經(jīng)過身份驗證的漏洞掃描至少每周運行一次，并將特定于受眾的報告?zhèn)鬟f到組織中的各個級別。系統(tǒng)管理員會收到特定的漏洞報告，而管理層則會收到漏洞風(fēng)險趨勢報告。

此外，將漏洞管理狀態(tài)數(shù)據(jù)與信息安全生態(tài)系統(tǒng)的其余部分進(jìn)行共享，可以為信息安全團隊提供可操作的情報。例如，如果在外部防火墻上檢測到漏洞，則可以在安全事件和事件管理(SIEM)工具中運行快速關(guān)聯(lián)，以確定哪些系統(tǒng)易受該漏洞攻擊。

我發(fā)現(xiàn)，目前大多數(shù)組織都介于“第二階段”(管理)和“第三階段”(定義)之間。如上所述，一個非常常見的問題是如何獲得系統(tǒng)管理員的信任。如果最初選擇的解決方案不符合組織的要求，則很難重新獲得信任。

第4階段：量化管理

在漏洞管理程序的定量管理階段，程序的特定屬性是可量化的，并且向管理團隊提供度量標(biāo)準(zhǔn)。以下是每個組織應(yīng)跟蹤的一些漏洞度量標(biāo)準(zhǔn)：

• 近期組織的漏洞管理系統(tǒng)未掃描的組織業(yè)務(wù)系統(tǒng)的百分比是多少?
• 每個組織的業(yè)務(wù)系統(tǒng)的平均漏洞分?jǐn)?shù)是多少?
• 每個組織的業(yè)務(wù)系統(tǒng)的漏洞總分是多少?
• 平均而言，將操作系統(tǒng)軟件更新完全部署到業(yè)務(wù)系統(tǒng)中需要多長時間?
• 平均而言，將應(yīng)用程序軟件更新完全部署到業(yè)務(wù)系統(tǒng)中需要多長時間?

這些指標(biāo)可以進(jìn)行整體查看，也可以按各個業(yè)務(wù)部門進(jìn)行細(xì)分，以查看哪些業(yè)務(wù)部門正在降低風(fēng)險，哪些業(yè)務(wù)部門處于比較落后的狀態(tài)。

第五階段：優(yōu)化

在漏洞管理程序的優(yōu)化階段，前一階段定義的度量標(biāo)準(zhǔn)旨在進(jìn)行改進(jìn)。優(yōu)化每個指標(biāo)將確保漏洞管理程序不斷減少組織的攻擊面。信息安全團隊?wèi)?yīng)該與管理團隊合作，為漏洞管理計劃設(shè)定可實現(xiàn)的目標(biāo)。一旦達(dá)到這些目標(biāo)，就可以設(shè)定新的、更積極的目標(biāo)，以實現(xiàn)持續(xù)的流程改進(jìn)。

漏洞管理與資產(chǎn)發(fā)現(xiàn)相結(jié)合，占據(jù)了“Top 20 CIS控制”的前三名。因此，確保漏洞管理計劃的持續(xù)成熟是減少組織攻擊面的關(guān)鍵。如果我們每個人都可以減少攻擊面，我們可以讓這個網(wǎng)絡(luò)世界更安全!

關(guān)于“Top 20 CIS控制”

• 硬件資產(chǎn)的庫存和控制;
• 軟件資產(chǎn)的庫存和控制;
• 持續(xù)漏洞管理;
• 管理權(quán)限的控制使用;
• 移動設(shè)備、筆記本電腦、工作站和服務(wù)器上的硬件和軟件的安全配置;
• 審計日志的維護(hù)、監(jiān)控和分析;
• 電子郵件和Web瀏覽器保護(hù);
• 惡意軟件防御;
• 網(wǎng)絡(luò)端口、協(xié)議和服務(wù)的限制和控制;
• 數(shù)據(jù)恢復(fù)功能;
• 網(wǎng)絡(luò)設(shè)備(例如防火墻、路由器和交換機)的安全配置;
• 邊界防御;
• 數(shù)據(jù)保護(hù);
• 訪問控制(只賦予“需要的”人員訪問權(quán)限);
• 無線訪問控制;
• 賬戶監(jiān)控;
• 實施安全意識和培訓(xùn)計劃;
• 應(yīng)用軟件安全;
• 事件響應(yīng)和管理;
• 滲透測試和“紅隊”練習(xí);

點擊查看完整白皮書。