新型冠狀病毒給網(wǎng)絡安全專業(yè)人員帶來了巨大工作壓力。隨著網(wǎng)絡安全預算緊張、遠程辦公的常態(tài)化，越來越復雜的威脅形勢已經(jīng)給漏洞管理提出了更加嚴峻的挑戰(zhàn)。

很多企業(yè)對漏洞管理的定義從一開始就過時了。漏洞管理，絕不僅是掃描企業(yè)網(wǎng)絡是否存在威脅這么簡單。漏洞管理的整體方法包括識別、報告、評估和確定暴露的優(yōu)先級。至關重要的是，它還涉及風險管理背景。漏洞管理的綜合方法不僅是掃描安全漏洞，還包括展示攻擊者如何利用這些漏洞以及可能發(fā)生的后果。

[[420729]]

準確地說，漏洞管理應當采用全局方法，要求各方面協(xié)調(diào)工作，以降低關鍵業(yè)務資產(chǎn)的風險，這也是安全運營團隊應該為之奮斗的目標。研究發(fā)現(xiàn)，企業(yè)安全漏洞管理工作失敗主要有三大原因：

一、管理無序，未進行威脅優(yōu)先級排序

無法對威脅進行正確優(yōu)先級排序是企業(yè)目前在漏洞管理環(huán)境中面臨的最嚴重的問題之一。太多企業(yè)通過掃描識別安全漏洞，然后直接進入修復階段。在某種程度上，這種緊迫性是可以理解的。但未能有效地確定優(yōu)先級可能會導致時間和資源的浪費，因為團隊競相解決的可能是那些對業(yè)務關鍵資產(chǎn)沒有真正風險的漏洞。

更糟糕的是，無序的漏洞管理反而會使企業(yè)變得更為脆弱。一個更好的方法是優(yōu)先關注于已確定的、可以被利用的漏洞風險。如果操作正確，這種優(yōu)先級排序可以消除對業(yè)務敏感的系統(tǒng)99%的風險。使用先進的攻擊補丁管理解決方案、使用以攻擊為中心的關鍵風險上下文關聯(lián)方法對漏洞進行優(yōu)先級排序，能夠全面顯示漏洞對企業(yè)的真實威脅：每個漏洞被利用的可能性以及每個漏洞對企業(yè)的關鍵資產(chǎn)構成的風險。

二、不能堅持，缺乏連續(xù)性管理計劃

有效的漏洞管理計劃應該是持續(xù)的，而不是偶發(fā)的。如果企業(yè)不采取持續(xù)的方法，他們將難以控制漏洞的流動并積累大量“漏洞債務”。跟蹤新涌現(xiàn)的漏洞往往會讓安全團隊疲于奔命，而處理不斷積壓的安全問題可能會使安全運營不堪重負。因此，漏洞管理應當使用以連續(xù)和自動化漏洞識別為中心的持續(xù)方法，而不是不定期的掃描和修復。這是企業(yè)持續(xù)改進安全態(tài)勢的關鍵措施之一。

三、溝通不暢，管理團隊架構不清晰

當安全團隊沒有明確的溝通渠道和正確的組織結構時，一般都會出現(xiàn)問題。團隊成員經(jīng)常沒有明確的角色，他們不了解自己在整體漏洞管理框架中的職責。當團隊成員有明確的角色定義和明確的職責、目標時，他們才可以有效地工作和協(xié)作，了解如何將工作與他人的角色和責任相關聯(lián)，而避免錯過更大的安全圖景。

這種溝通需求也延伸到了最高管理層。鑒于強大的網(wǎng)絡安全能力已成為一項重要的企業(yè)戰(zhàn)略目標，公司領導層應當充分了解安全計劃的重要性。數(shù)據(jù)泄露數(shù)量逐年增加，一次數(shù)據(jù)泄露就可能導致嚴重的聲譽和財務損失，甚至企業(yè)關門倒閉。漏洞管理已經(jīng)不再只是IT支出的一個分支，它應該是一個關鍵的業(yè)務目標。

為了實現(xiàn)高效漏洞管理，企業(yè)必須意識到漏洞管理應該是一個持續(xù)的、多階段的過程。當然，在IT部門內(nèi)部，也應該刮骨療毒，徹底解決困擾漏洞管理效率的三大頑疾。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文