多起數(shù)據(jù)泄露事件都可以追溯到未修補(bǔ)的漏洞，其中包括2017年信用報告機(jī)構(gòu)Equifax公司的大規(guī)模數(shù)據(jù)泄露事件。Tripwire公司在2019年的一項研究發(fā)現(xiàn)，27%的違規(guī)事件是由未修補(bǔ)的漏洞引起的，而Ponemon公司在2018年開展的一項研究表明這一數(shù)字高達(dá)60%。

這不會讓安全領(lǐng)域的任何人感到驚訝：在過去幾年中，發(fā)現(xiàn)的漏洞數(shù)量每年都在增加。

與此同時，安全團(tuán)隊也不堪重負(fù)，因?yàn)樗麄円恢痹诿τ趯?shí)現(xiàn)安全的遠(yuǎn)程工作和解決其他與新冠疫情相關(guān)的問題，同時還要應(yīng)對人員短缺問題。

因此，改進(jìn)漏洞管理計劃并不總是首要任務(wù)。然而，一些資深安全負(fù)責(zé)人表示，他們看到了可以而且應(yīng)該解決的常見錯誤和失誤，以加強(qiáng)這些計劃。以下是他們指出的首席信息安全官仍然經(jīng)常會犯的10個錯誤：

1.未能獲得企業(yè)高管支持

良好的漏洞管理計劃所需的工作遠(yuǎn)遠(yuǎn)超出了安全團(tuán)隊的范圍。風(fēng)險決策需要企業(yè)管理層的投入，修補(bǔ)漏洞需要IT專業(yè)知識，計劃的更新停機(jī)時間會影響多個業(yè)務(wù)功能。

因此，首席信息安全官需要企業(yè)中多個參與者的支持才能很好地完成這項任務(wù)，托管服務(wù)提供商Thrive公司首席技術(shù)官M(fèi)ichael Gray表示，當(dāng)首席信息安全官得到企業(yè)高層領(lǐng)導(dǎo)的支持時，他們更有可能獲得成功。

另一方面，缺乏企業(yè)高管層對其漏洞管理工作的支持的首席信息安全官可能會因?qū)山邮艿娘L(fēng)險缺乏明確性以及IT和業(yè)務(wù)部門對安排修補(bǔ)和系統(tǒng)停機(jī)時間的反對而受阻。

但也有一些好消息，Gray和其他人表示，隨著網(wǎng)絡(luò)安全已成為企業(yè)董事會的關(guān)注點(diǎn)，首席信息安全官越來越多地發(fā)現(xiàn)他們需要高管的支持。研究機(jī)構(gòu)Gartner公司的數(shù)據(jù)證實(shí)了這一趨勢，該公司在2021年的調(diào)查發(fā)現(xiàn)，88%的企業(yè)董事會現(xiàn)在將網(wǎng)絡(luò)安全視為一種業(yè)務(wù)風(fēng)險。

2.沒有培養(yǎng)共同的責(zé)任感

Under Armour公司首席信息安全官Alex Attumalil說，“首席信息安全官不應(yīng)全部承擔(dān)漏洞管理的責(zé)任或風(fēng)險。”

首席信息安全官并不擁有他們支持的系統(tǒng)或業(yè)務(wù)功能，也無權(quán)單獨(dú)確定企業(yè)是否愿意接受任何特定風(fēng)險。

他說，“我們不能完全代表企業(yè)接受風(fēng)險。這需要與其他企業(yè)領(lǐng)導(dǎo)者溝通風(fēng)險，根據(jù)業(yè)務(wù)風(fēng)險制定漏洞管理框架，并讓他們成為解決方案的一部分。他們需要知道自己應(yīng)該對系統(tǒng)引入的漏洞負(fù)責(zé)。”

Attumalil表示，這種方法讓首席信息安全官以外的企業(yè)高管參與其中，這一舉措在漏洞管理工作(例如安排系統(tǒng)停機(jī)時間進(jìn)行修補(bǔ))方面建立了更多支持和協(xié)作。

3.使用通用風(fēng)險優(yōu)先級

Pulse公司最近為安全供應(yīng)商Vulcan Cyber公司進(jìn)行的一項研究表明，在200多名做出響應(yīng)的企業(yè)IT和安全主管中，絕大多數(shù)都沒有根據(jù)其企業(yè)自身獨(dú)特的風(fēng)險狀況對漏洞進(jìn)行優(yōu)先級排序。更具體地說，該研究表明，86%的受訪者表示將依賴第三方漏洞嚴(yán)重性數(shù)據(jù)來確定漏洞的優(yōu)先級，70%的人還使用第三方威脅情報。

資深安全領(lǐng)導(dǎo)人警告不要采用這種方法，稱這可能會讓首席信息安全官及其團(tuán)隊將有限的資源集中在錯誤的威脅上。

KLC咨詢公司為美國國防承包商提供網(wǎng)絡(luò)安全建議和vCISO服務(wù)，其總裁兼首席信息安全官Kyle Lai建議采用不同的方法。他表示，首席信息安全官及其團(tuán)隊必須了解企業(yè)自身的技術(shù)環(huán)境，并擁有最新的資產(chǎn)清單，他們必須了解企業(yè)的風(fēng)險偏好和風(fēng)險承受能力，以便他們能夠識別對自己企業(yè)的最大威脅，并優(yōu)先消除這些威脅。

他說，“他們應(yīng)該了解特定威脅可能產(chǎn)生的影響有多大，應(yīng)該知道哪些威脅更嚴(yán)重。并且根據(jù)對自己所在企業(yè)的影響來確定優(yōu)先順序?！?/p>

4.忽略安全培訓(xùn)

Lexmark International公司首席信息安全官Bryan Willett認(rèn)識到，修補(bǔ)Linux系統(tǒng)所需的技能與修補(bǔ)Windows所需的技能不同，而這些技能也不同于在其漏洞管理程序中執(zhí)行其他任務(wù)所需的技能。

此外，他的安全工作人員對漏洞管理所需的知識與IT工作人員在實(shí)際系統(tǒng)中進(jìn)行修補(bǔ)所需的知識不同。

他說，“所以我希望這些團(tuán)隊接受必要的培訓(xùn)，以承擔(dān)起他們的責(zé)任?！?/p>

但安全領(lǐng)導(dǎo)者表示，并非所有企業(yè)都致力于提供員工所需的持續(xù)安全教育，以提供世界一流的安全性，更具體地說是強(qiáng)大的漏洞管理功能。專家表示，企業(yè)有時會低估漏洞管理任務(wù)所需的專業(yè)化程度，或者他們忽略了對員工進(jìn)行自身企業(yè)內(nèi)使用的特定系統(tǒng)或工具進(jìn)行培訓(xùn)的必要性。

Willett補(bǔ)充說，“每個人都需要記住的是，員工想要做正確的事情，但我們必須對他們進(jìn)行投資，讓他們能夠做正確的事情?！?/p>

5.未能跟蹤代碼

Linux基金會的研究表明，越來越多的企業(yè)正在使用軟件材料清單(SBOM)來更好地理解他們系統(tǒng)中的所有代碼。更具體地說，該報告表明，47%的企業(yè)正在生產(chǎn)或使用軟件材料清單(SBOM)，78%的企業(yè)預(yù)計將在2022年生產(chǎn)或使用軟件材料清單(SBOM)(高于2021年的66%)。

盡管這些數(shù)字顯示軟件材料清單(SBOM)的使用有所增加，但它們?nèi)匀槐砻髟S多企業(yè)可能無法了解其IT環(huán)境中的所有代碼。Lai表示，缺乏可見性限制了他們了解自己是否存在需要解決的漏洞的能力。

他說，“你必須知道有什么代碼和什么開源組件，所以當(dāng)像Log4J這樣的漏洞出現(xiàn)時，就知道它存在的所有地方?！?/p>

6.推遲升級

專業(yè)服務(wù)商普華永道公司網(wǎng)絡(luò)與隱私創(chuàng)新研究所負(fù)責(zé)人Joe Nocera表示，盡管漏洞管理是一項永無止境的任務(wù)，但可以通過解決技術(shù)債務(wù)將其納入更有效的計劃中。

正如Nocera解釋的那樣：“越能淘汰舊版本或在標(biāo)準(zhǔn)堆棧上整合，就越不需要管理漏洞。這就是我認(rèn)為簡化和整合是可以獲得的最佳力量倍增器的原因。”

Nocera承認(rèn)，淘汰遺留系統(tǒng)和解決技術(shù)債務(wù)當(dāng)然不會消除漏洞。但是擺脫遺留系統(tǒng)確實(shí)會消除一些工作，它可以讓企業(yè)擺脫不再能夠打補(bǔ)丁的系統(tǒng)，從而降低風(fēng)險。

他說，通過解決這些問題，安全團(tuán)隊及其IT同行可以將重點(diǎn)轉(zhuǎn)移到解決剩余的優(yōu)先事項上，從而使該計劃更加有效和有影響力。

盡管這種方法有諸多好處，但許多企業(yè)并沒有將其作為優(yōu)先事項：遠(yuǎn)程監(jiān)控和管理云平臺制造商Action1公司發(fā)布的2022年端點(diǎn)管理和安全趨勢報告發(fā)現(xiàn)，只有34%的受訪者計劃專注于消除他們已采用云計算替代品取代的風(fēng)險遺留軟件。

7.忽略有關(guān)新興威脅的新聞

關(guān)于新漏洞或新出現(xiàn)威脅的最初警告通常來自缺乏大量細(xì)節(jié)的簡短公告。盡管這些早期報告附帶的信息有限，但安全團(tuán)隊不應(yīng)該忽視它們的重要性。Lai表示，事實(shí)上，跟蹤來自各種安全來源的新聞和頭條以了解即將發(fā)生的事情至關(guān)重要。

他說，“你想關(guān)注即將發(fā)生的事情。他們可能不會提供任何細(xì)節(jié)，但這種類型的情報可以幫助企業(yè)更好地做好準(zhǔn)備，可以開始工作或做好計劃。”

8.應(yīng)對每個新的威脅

另一方面，F(xiàn)orrester Research公司高級分析師Erik Nost警告首席信息安全官，不要在沒有首先評估突發(fā)新聞是否會影響到他們自己的企業(yè)，以及影響到多大程度的情況下對突發(fā)新聞做出反應(yīng)。

他說，“許多首席信息安全官仍在學(xué)習(xí)如何處理零日漏洞以及成為新聞頭條的漏洞，這些漏洞的出現(xiàn)頻率越來越高。梳理一些聳人聽聞的新聞，以及哪些漏洞對他們的企業(yè)構(gòu)成實(shí)際威脅是一項挑戰(zhàn)，但要求團(tuán)隊修復(fù)他們收件箱或首席執(zhí)行官在新聞頭條中看到的所有內(nèi)容并不是正確的方法?！?/p>

Nost指出，康奈爾大學(xué)最近的一項分析表明，高級持續(xù)性威脅(APT)比零日漏洞更有可能利用已知漏洞。因此，Nost說，“首席信息安全官還應(yīng)該考慮威脅行為者，并考慮高級持續(xù)性威脅(APT)是否可能針對他們的企業(yè)進(jìn)行攻擊?！?/p>

他說，安全團(tuán)隊?wèi)?yīng)該將主動攻擊視為更好的優(yōu)先考慮因素，而不是媒體談?wù)摰膬?nèi)容。

Nost補(bǔ)充說，“團(tuán)隊的時間緊迫。如果他們試圖修補(bǔ)出現(xiàn)在Twitter上的每個漏洞，那么他們就沒有根據(jù)他們可接受的風(fēng)險偏好積極評估特定于他們企業(yè)的風(fēng)險，并修復(fù)作為最大威脅的漏洞。如果存在成為新聞頭條的零日漏洞或漏洞，可能仍需要采取行動，因此其團(tuán)隊?wèi)?yīng)該制定有關(guān)如何評估威脅的程序。只需記住遵守既定的行動手冊、風(fēng)險偏好和威脅分析程序?！?/p>

9.依賴過時的信息

Gartner公司的調(diào)查顯示，大多數(shù)董事會成員現(xiàn)在將網(wǎng)絡(luò)安全視為一種風(fēng)險，而且還發(fā)現(xiàn)大多數(shù)(57%)董事會成員在2021～2022年期間增加或預(yù)計增加風(fēng)險偏好。與此同時，每年新發(fā)現(xiàn)的漏洞數(shù)量繼續(xù)增長。傳統(tǒng)企業(yè)的IT環(huán)境也在不斷發(fā)展。

專家表示，這些要點(diǎn)表明，首席信息安全官需要制定流程，重新審視和審查其計算方法，以確定漏洞緩解和補(bǔ)救的優(yōu)先級。

Gray說，“很多時候，企業(yè)并不擅長管理漏洞的生命周期，而漏洞數(shù)量一直在增長，并且不斷變化，這是需要不斷關(guān)注的事情?！?/p>

10.沒有將安全嵌入到開發(fā)過程中

Nocera表示，將安全和安全設(shè)計原則嵌入到開發(fā)過程中的企業(yè)并不多，這導(dǎo)致首席信息安全官和首席信官錯失了為他們的企業(yè)共同構(gòu)建更強(qiáng)大的漏洞管理計劃的機(jī)會。

Nocera說，將安全性更早地引入開發(fā)過程(或“左移”)，可以讓首席信息安全官在代碼投入生產(chǎn)之前提前解決安全問題，所以不會在環(huán)境中引入已知的漏洞。

Nocera說，左移不一定會減少漏洞管理工作的數(shù)量，但就像消除遺留系統(tǒng)和技術(shù)債務(wù)一樣，它確實(shí)可以釋放資源，以便團(tuán)隊可以優(yōu)化他們的漏洞管理工作。