首席信息安全官要向企業(yè)員工宣傳掌握安全基礎(chǔ)的必要性，他們?cè)谂⒁粋€(gè)穩(wěn)健的漏洞管理計(jì)劃。其計(jì)劃可能會(huì)因需要關(guān)注的漏洞數(shù)量、解決漏洞所需的速度或有效所需的資源而受到阻礙。

例如，考慮一下安全團(tuán)隊(duì)在解決Log4j漏洞方面所面臨的挑戰(zhàn)。由經(jīng)過認(rèn)證的網(wǎng)絡(luò)安全專業(yè)人員組成的非營(yíng)利性協(xié)會(huì)(ISC)2最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，52%的受訪者花費(fèi)數(shù)周或一個(gè)月以上的時(shí)間來修復(fù)Log4j漏洞。

誠(chéng)然，Log4j漏洞的影響范圍很大，但安全專家表示，這一數(shù)字以及其他研究和他們自己的調(diào)查表明，許多企業(yè)仍在完善他們用來識(shí)別、確定優(yōu)先級(jí)和修復(fù)軟件中的安全問題的流程。

以下一些最佳實(shí)踐有助于構(gòu)建高效的漏洞管理計(jì)劃：

1.了解自己的環(huán)境

安全專家強(qiáng)調(diào)，首席信息安全官需要準(zhǔn)確了解他們需要保護(hù)的技術(shù)環(huán)境;這有助于他們了解他們的技術(shù)堆棧中是否存在已知和新發(fā)現(xiàn)的漏洞。

然而，這說起來容易做起來難。網(wǎng)絡(luò)安全培訓(xùn)機(jī)構(gòu)SANS Institute公司的認(rèn)證講師、安全技術(shù)商Scythe公司的首席技術(shù)官以及C2 Matrix項(xiàng)目的共同創(chuàng)建者Jorge Orchiles說，“每個(gè)人都說他們有安全措施，但通常需要更深入一點(diǎn)。他們不知道幕后發(fā)生了什么。這仍然是最大的挑戰(zhàn)?！?/p>

他說，已經(jīng)看到成熟的安全操作占其環(huán)境的主要組成部分，但卻忽略了較小的元素和代碼本身，這種疏忽可能留下了未修補(bǔ)的關(guān)鍵漏洞。

Orchiles建議網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者確保他們擁有技術(shù)環(huán)境的詳細(xì)記錄，其中包括編程庫(kù)等所有組件(事實(shí)證明，這些組件對(duì)于修補(bǔ)Log4j漏洞的企業(yè)至關(guān)重要)。此外，每當(dāng)推出一個(gè)新系統(tǒng)時(shí)，首席信息安全官帶來的團(tuán)隊(duì)必須不斷地更新該記錄。

2.制定一個(gè)真正的計(jì)劃(不僅僅是臨時(shí)工作)

掃描漏洞并修復(fù)出現(xiàn)的任何漏洞似乎足夠了，但安全專家表示，臨時(shí)方法既低效又不充分。例如，安全團(tuán)隊(duì)花費(fèi)寶貴的時(shí)間修補(bǔ)對(duì)其企業(yè)構(gòu)成有限威脅的漏洞，而不是優(yōu)先考慮高風(fēng)險(xiǎn)問題?；蛘咚麄兠τ谕瓿善渌?xiàng)目并推遲漏洞管理工作，直到他們有空閑的時(shí)間。

TCE Strategy公司首席執(zhí)行官Bryce Austin表示，為了防止這種情況發(fā)生，首席信息安全官應(yīng)該采用程序化方法進(jìn)行漏洞管理，該方法結(jié)合了企業(yè)對(duì)風(fēng)險(xiǎn)的容忍度以及確定優(yōu)先級(jí)、補(bǔ)救和緩解已識(shí)別漏洞的流程。

該計(jì)劃還應(yīng)確定企業(yè)執(zhí)行漏洞掃描的頻率，并應(yīng)包括與供應(yīng)商補(bǔ)丁發(fā)布日期相關(guān)的時(shí)間表。

咨詢機(jī)構(gòu)Protiviti公司的技術(shù)風(fēng)險(xiǎn)、IT審計(jì)和網(wǎng)絡(luò)安全服務(wù)董事總經(jīng)理兼ISACA紐約大都會(huì)分會(huì)主席Farid Abdelkader補(bǔ)充說，一個(gè)良好的漏洞管理計(jì)劃應(yīng)該有明確的流程和政策、特許團(tuán)隊(duì)和治理。

Abdelkader還建議首席信息安全官使用可以顯示其執(zhí)行情況的關(guān)鍵績(jī)效指標(biāo)，來確定良好的外觀，確定需要改進(jìn)的領(lǐng)域，然后指示隨著時(shí)間的推移取得的進(jìn)展。

《足夠安全嗎?面向企業(yè)主和高管的20個(gè)網(wǎng)絡(luò)安全問題》一文的作者Austin表示，擁有成熟漏洞管理計(jì)劃的企業(yè)有一個(gè)向企業(yè)高管報(bào)告其活動(dòng)的流程，以便他們了解該計(jì)劃的重要性及其跟蹤記錄。他指出，這有助于確保進(jìn)行有效的監(jiān)督，并將漏洞管理與企業(yè)內(nèi)部的任何其他業(yè)務(wù)風(fēng)險(xiǎn)一樣對(duì)待。

3.根據(jù)企業(yè)自身的風(fēng)險(xiǎn)進(jìn)行定制

企業(yè)需要不斷發(fā)現(xiàn)新的漏洞，再加上現(xiàn)有已知漏洞，幾乎不可能修復(fù)這些問題。Abdelkader說，企業(yè)找到一種方法來查明最重要的漏洞并確定修復(fù)工作的優(yōu)先順序是至關(guān)重要的。

Abdelkader說，“企業(yè)了解事件的嚴(yán)重性。詢問如果出現(xiàn)漏洞怎么辦?這對(duì)數(shù)據(jù)有何影響?或者如果系統(tǒng)出現(xiàn)故障?這會(huì)對(duì)企業(yè)的業(yè)務(wù)、客戶或聲譽(yù)產(chǎn)生什么樣的影響?企業(yè)需要了解這些資產(chǎn)的真正風(fēng)險(xiǎn)以及這些事情發(fā)生的實(shí)際風(fēng)險(xiǎn)?！?/p>

這項(xiàng)工作可以由漏洞掃描、供應(yīng)商和其他安全渠道提供的分類(高、中、低)指導(dǎo)，但該過程應(yīng)考慮企業(yè)對(duì)風(fēng)險(xiǎn)的容忍度、技術(shù)環(huán)境、行業(yè)等。

他解釋說，“它必須與企業(yè)、關(guān)鍵資產(chǎn)和資源、數(shù)據(jù)、計(jì)算機(jī)或系統(tǒng)對(duì)關(guān)鍵威脅的暴露程度有關(guān)?！?/p>

他指出，作為一個(gè)孤立的系統(tǒng)，所面臨的風(fēng)險(xiǎn)與當(dāng)前的系統(tǒng)不同;因此，每個(gè)人都應(yīng)該獲得與自身風(fēng)險(xiǎn)相對(duì)應(yīng)的不同級(jí)別的補(bǔ)救優(yōu)先級(jí)。

不過他補(bǔ)充說，這種基于企業(yè)自身風(fēng)險(xiǎn)狀況的定制和優(yōu)先排序并不總是會(huì)發(fā)生。他說，“我看到很多漏洞管理項(xiàng)目都是從一個(gè)列表開始的，該列表列出了漏洞掃描發(fā)現(xiàn)的內(nèi)容，以及對(duì)企業(yè)實(shí)際存在的關(guān)鍵風(fēng)險(xiǎn)，以及真正關(guān)心的問題。”

4.重新審視風(fēng)險(xiǎn)和優(yōu)先事項(xiàng)

提高企業(yè)的風(fēng)險(xiǎn)承受能力，并建立工作優(yōu)先順序的流程，對(duì)于強(qiáng)大的脆弱性管理計(jì)劃都至關(guān)重要。但這些任務(wù)不能被視為一項(xiàng)已完成的任務(wù)。

Austin補(bǔ)充說，他們應(yīng)該至少每年都重新訪問一次，也可以在企業(yè)內(nèi)部或IT環(huán)境發(fā)生重大變化時(shí)訪問。

5.使用框架和系統(tǒng)

MITRE Engenuity技術(shù)基金會(huì)威脅情報(bào)防御研究與開發(fā)中心的聯(lián)合創(chuàng)始人兼代理主任Jon Baker表示，企業(yè)無需自己獨(dú)立開發(fā)技術(shù)來幫助完成漏洞管理任務(wù)，因?yàn)楹芏嗥髽I(yè)已經(jīng)開發(fā)了框架和其他系統(tǒng)來幫助首席信息安全官進(jìn)行管理。

Bake說，“這些框架和系統(tǒng)可以幫助企業(yè)查看安全漏洞，并了解網(wǎng)絡(luò)攻擊者如何使用它們的方法，因此可以使用框架和系統(tǒng)來確定漏洞和其響應(yīng)的優(yōu)先級(jí)?！?/p>

MITRE Engenuity技術(shù)基金會(huì)擁有其通用漏洞和暴露(CVE)系統(tǒng)，該系統(tǒng)自1999年以來一直提供有關(guān)公開已知漏洞和暴露的信息(正如其名稱所述)，并具有與這些漏洞相關(guān)聯(lián)的特定代碼庫(kù)版本。還有NIST特別出版物800-30，企業(yè)可以使用它來進(jìn)行風(fēng)險(xiǎn)評(píng)估。

此外，還有通用漏洞評(píng)分系統(tǒng)(CVSS)，這是一個(gè)開放框架，企業(yè)可以使用它來評(píng)估安全漏洞的嚴(yán)重性，以便可以根據(jù)威脅級(jí)別對(duì)它們進(jìn)行優(yōu)先級(jí)排序。

MITRE Engenuity技術(shù)基金會(huì)還擁有其ATT&CK框架(利用CVE)，企業(yè)可以使用該框架來確定需要他們注意的漏洞的優(yōu)先級(jí)，作為全面的威脅知情防御策略的一部分。

6.考慮直接供應(yīng)商、第三方引入的漏洞

Log4j漏洞之所以如此成問題，部分原因是Log4J工具如此普遍，存在于企業(yè)IT團(tuán)隊(duì)和軟件供應(yīng)商開發(fā)的眾多應(yīng)用程序中。

Baker說，Log4j漏洞于2021年底浮出水面，這也表明，首席信息安全官需要了解、評(píng)估、優(yōu)先考慮和緩解供應(yīng)商產(chǎn)品中存在的或由第三方引入的漏洞。

他承認(rèn)，企業(yè)安全團(tuán)隊(duì)在這方面遇到了挑戰(zhàn)，因?yàn)槠髽I(yè)安全部門往往不知道供應(yīng)商解決方案中存在哪些漏洞，甚至可能無法在這些系統(tǒng)上運(yùn)行漏洞掃描。

他說，“對(duì)于我們所依賴的系統(tǒng)所利用的代碼和工具，我們確實(shí)缺乏透明度?！彼赋?，軟件材料清單(SBOM)是軟件中的組件列表，在某些情況下可以提供一些可見性。

Baker建議，首席信息安全官審查他們與供應(yīng)商就在管理其產(chǎn)品中的漏洞方面的角色達(dá)成的協(xié)議，然后在必要時(shí)尋求插入合同語言，以限制錯(cuò)誤被忽視或未修復(fù)的可能性。

他說，“這是企業(yè)的漏洞管理計(jì)劃的一部分：了解提供商和第三方如何跟蹤、確定優(yōu)先級(jí)和修補(bǔ)漏洞?！?/p>

7.建立制衡機(jī)制

另一個(gè)最佳實(shí)踐是：不要將漏洞管理分配給IT團(tuán)隊(duì)。安全專家表示，首席信息安全官應(yīng)該有一個(gè)專門的個(gè)人或團(tuán)隊(duì)，負(fù)責(zé)識(shí)別漏洞、確定修復(fù)的優(yōu)先級(jí)，以及監(jiān)督補(bǔ)救和緩解措施的執(zhí)行。

Austin說，“他們需要有人對(duì)進(jìn)行實(shí)際修補(bǔ)的團(tuán)隊(duì)保持健康的關(guān)系，因?yàn)閷?duì)于那些通過進(jìn)行更多修補(bǔ)而使工作變得更加困難的基礎(chǔ)設(shè)施人員來說，對(duì)漏洞掃描進(jìn)行嚴(yán)格的檢查變得更難。任何自我監(jiān)督職能都非常容易受到冷漠或腐敗的影響。因此需要制衡。”

很多人對(duì)此表示認(rèn)同，并指出首席信息安全官可以選擇托管安全服務(wù)提供商(MSSP)來運(yùn)行其漏洞管理程序，然后與內(nèi)部基礎(chǔ)設(shè)施、工程和/或devops團(tuán)隊(duì)合作執(zhí)行補(bǔ)丁，并處理任何所需的停機(jī)時(shí)間和所需的測(cè)試。

8.投資工具和團(tuán)隊(duì)

安全專家強(qiáng)調(diào)，有效的漏洞管理與安全領(lǐng)域的其他所有工作一樣，需要合適的人員、流程和技術(shù)。

他們指出，許多企業(yè)都有所有這些部分，但并不總是讓這三個(gè)部分有效地協(xié)同工作。Baker表示，安全團(tuán)隊(duì)通常擁有掃描工具，但可能沒有引入有效處理工作負(fù)載所需的自動(dòng)化，

此外，Orchiles表示，首席信息安全官和他們所在的公司必須承諾提供使這些團(tuán)隊(duì)成功所需的資源。

他指出，投資工具和團(tuán)隊(duì)可能看起來很直觀，但并不總是遵循這樣的建議。例如，看到首席信息安全官投資于一種新工具，但沒有投資運(yùn)行該技術(shù)所需的員工、最大限度地利用技術(shù)所需的培訓(xùn)以及所需的變更管理。

他補(bǔ)充說，“如果沒有這些，工具將無法工作。”