大量攻擊已被追溯到其所對應(yīng)的未修補(bǔ)漏洞，包括2017年信用報(bào)告機(jī)構(gòu)Equifax嚴(yán)重的數(shù)據(jù)泄露。Tripwire在2017年的一項(xiàng)研究發(fā)現(xiàn)27%的攻擊是由未打補(bǔ)丁的漏洞造成的，而 Ponemon在2018年的研究中得到的相關(guān)數(shù)據(jù)卻是60%，這更加讓人驚訝。

在過去的幾年里，新發(fā)現(xiàn)的漏洞數(shù)量每年都在上升，這對于安全領(lǐng)域的工作者來說并不意外。

與此同時，安全團(tuán)隊(duì)也一直處于緊張狀態(tài)，他們忙于實(shí)現(xiàn)安全的遠(yuǎn)程工作，以及解決其他與疫情相關(guān)的需求，同時還要應(yīng)對人員短缺的問題。

因此，改進(jìn)漏洞管理程序并不總是首要任務(wù)。

然而，經(jīng)驗(yàn)豐富的安全主管們表示，大部分組織中都存在著一些常見的錯誤和失誤，它們本可以并且也應(yīng)該得到解決，從而加強(qiáng)相關(guān)項(xiàng)目的安全性。以下是主管們提到的CISO仍經(jīng)常犯的10個錯誤：

1. 未能得到高管的支持

一個好的漏洞管理程序所需要的工作量遠(yuǎn)遠(yuǎn)超出了安全團(tuán)隊(duì)的承受范圍。風(fēng)險(xiǎn)決策需要執(zhí)行輸入操作，打補(bǔ)丁則需要IT專業(yè)知識，同時為了更新導(dǎo)而致的對停機(jī)時間的安排會影響多個業(yè)務(wù)功能。

管理服務(wù)提供商Thrive的首席技術(shù)官 Michael Gray表示，正因如此，CISO需要得到組織中多方面參與者的支持，這樣才能很好地完成安全任務(wù)，并且只有當(dāng)他們得到企業(yè)高層領(lǐng)導(dǎo)的支持時，才更有可能獲得這種來自多方面的支持。

另一方面，那些漏洞管理工作缺乏高層領(lǐng)導(dǎo)支持的CISO可能會因?yàn)槠鋵︼L(fēng)險(xiǎn)可接受程度的了解不夠清晰明確，以及IT和業(yè)務(wù)部門對打補(bǔ)丁和系統(tǒng)停機(jī)時間安排的抵制而受到阻礙。

但同時也有一些好消息：Gray表示隨著網(wǎng)絡(luò)安全已成為董事會層面的問題，CISO也越來越多地得到了高層領(lǐng)導(dǎo)的支持。分析公司Gartner的數(shù)據(jù)證實(shí)了這一趨勢，其2021年的董事調(diào)查發(fā)現(xiàn)，88%的董事會如今都將網(wǎng)絡(luò)安全視為一種商業(yè)風(fēng)險(xiǎn)。  

2. 未培養(yǎng)出共同的責(zé)任感

Under Armour的CISO，Alex Attumalil表示，CISO承擔(dān)了它們本不該承擔(dān)的VM（漏洞管理）責(zé)任。

CISO并未擁有其組織所支持的系統(tǒng)或業(yè)務(wù)功能，亦沒有權(quán)力單獨(dú)決定該組織是否可以接受任何特定的風(fēng)險(xiǎn)。

他表示：“我們并沒有被賦予代表公司來承擔(dān)風(fēng)險(xiǎn)的權(quán)力，所以我們必須大量收集相關(guān)信息?！盋ISO需要與企業(yè)的領(lǐng)導(dǎo)們就業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行溝通，根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)來構(gòu)建漏洞管理，并讓高層領(lǐng)導(dǎo)參與到解決方案的決策中。他們需要明白自己要對本企業(yè)引入的漏洞負(fù)責(zé)。

Attumalil表示，這種方式可以讓CISO以外的高管參與到“游戲”中來，在漏洞管理工作方面（比如對打補(bǔ)丁和停機(jī)的時間安排），他們可以提供更多的支持和協(xié)作。 

3. 使用通用的風(fēng)險(xiǎn)優(yōu)先級

Pulse為安全供應(yīng)商VulcanCyber最近進(jìn)行的一項(xiàng)研究顯示，在200多名接受調(diào)查的企業(yè)IT和安全主管中，絕大多數(shù)表示并沒有根據(jù)其組織獨(dú)特的風(fēng)險(xiǎn)配置來對漏洞進(jìn)行優(yōu)先級排序。具體來說，86%的受訪者表示其組織依賴第三方提供的關(guān)于漏洞嚴(yán)重性的數(shù)據(jù)來確定漏洞修復(fù)的優(yōu)先級，其中70%的受訪者還表示會用到第三方提供的威脅情報(bào)。

資深的安全負(fù)責(zé)人對這種做法提出了警告，稱這可能會使CISO及其團(tuán)隊(duì)將有限的資源集中使用在那些無關(guān)緊要的威脅上。

KLC咨詢公司為美國國防承包商提供網(wǎng)絡(luò)安全咨詢和vCISO服務(wù)，該公司的總裁兼CISO ——KyleLai推薦了一種獨(dú)特的方法。他表示，CISO及其團(tuán)隊(duì)必須了解自己組織的技術(shù)環(huán)境、最新的資產(chǎn)庫存，以及組織的風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受能力，這樣他們才能夠識別出組織所面臨的最大威脅，并對其進(jìn)行優(yōu)先級排序。

他們應(yīng)該對具體漏洞可能會造成多大的威脅有一個清晰的了解，應(yīng)該知道哪些漏洞更加嚴(yán)重，并根據(jù)其對組織的影響來確定優(yōu)先級。

4. 缺乏訓(xùn)練

Lexmark International 的CISO Bryan Willett 表示，修復(fù)Linux系統(tǒng)所需的技能與修復(fù)Windows所需的技能不同，并且這些技能與那些在漏洞管理程序中執(zhí)行其他任務(wù)所需的技能也不同。

此外，他還表示，安全工作人員對漏洞管理所需要的知識與IT工作人員在實(shí)際系統(tǒng)中進(jìn)行補(bǔ)丁所需要的專業(yè)知識也不同。所以他希望不同的團(tuán)隊(duì)可以得到承擔(dān)自己責(zé)任所需要的有針對性的訓(xùn)練。

但安全主管表示，并不是所有的組織都致力于進(jìn)行持續(xù)的訓(xùn)練來使員工獲得世界級別的安全能力，更具體地說，就是并不追求讓員工具備強(qiáng)大的漏洞管理能力。專家表示，組織有時低估了漏洞管理任務(wù)所需的專業(yè)化程度或者員工接受有關(guān)自己企業(yè)使用的特定系統(tǒng)或工具的培訓(xùn)的重要性。

Willett補(bǔ)充道：“每個人都需要記住的是，員工有意向去做正確的事情，但我們必須對他們進(jìn)行投資，這樣才能使其有能力去做正確的事情?！?/p>

5. 未能跟蹤代碼

Linux基金會的一項(xiàng)研究表明，越來越多的組織開始使用軟件物料清單(SBOM)來更好地理解自己組織系統(tǒng)中的所有代碼。更具體地說，47%的企業(yè)正在生產(chǎn)或消費(fèi)SBOM，以及78%的企業(yè)預(yù)計(jì)在2022年生產(chǎn)或消費(fèi)SBOM（高于2021年的66%）。

盡管這些數(shù)據(jù)顯示SBOM的使用量有所增加，但數(shù)據(jù)同時也表明，很多組織可能仍然無法了解其IT環(huán)境中的所有代碼。Lai表示，這種可視性的不足限制了他們判斷組織中是否存在需要解決的漏洞的能力。

他還表示，組織必須了解自己使用了哪些代碼和開源組件，只有這樣當(dāng)類似于Log4J的攻擊出現(xiàn)時，組織才可以知道它存在的所有位置。

6. 推遲升級

普華永道的網(wǎng)絡(luò)與隱私創(chuàng)新研究所在專業(yè)服務(wù)部門的負(fù)責(zé)人Joe Nocera表示，盡管漏洞管理是一項(xiàng)永無止境的任務(wù)，但可以通過解決技術(shù)債來將其構(gòu)建成一個更加有效的程序。

正如Nocera解釋的那樣：“組織可以下線的遺留版本或在標(biāo)準(zhǔn)堆棧上進(jìn)行整合的東西越多，那么該組織所需要處理的漏洞就越少。這就是為什么說簡化和整合是提升能力的最好方法。”

Nocera承認(rèn)，下線遺留版本和解決技術(shù)債務(wù)并不能解決漏洞。但擺脫遺留版本確實(shí)可以免去一些工作，這樣企業(yè)就可以消除那些不再能打補(bǔ)丁的系統(tǒng)，從而降低風(fēng)險(xiǎn)。

他表示，通過消除這些問題，安全團(tuán)隊(duì)和IT團(tuán)隊(duì)可以將他們的重點(diǎn)轉(zhuǎn)移到解決更為優(yōu)先的事項(xiàng)上，從而提高了該項(xiàng)目的效率和效果。

盡管這個方法有很多優(yōu)點(diǎn)，但許多組織并沒有將此作為優(yōu)先事項(xiàng)：遠(yuǎn)程監(jiān)控和管理云平臺制造商Action1Corp在2022年發(fā)表的一項(xiàng)終端管理和安全趨勢報(bào)告發(fā)現(xiàn)，只有34%的受訪者打算專注于“消除那些已被云取代的高風(fēng)險(xiǎn)遺留軟件”。

7. 忽略新威脅出現(xiàn)的新聞

有關(guān)新漏洞或新出現(xiàn)威脅的首要警告往往是那些缺乏細(xì)節(jié)的簡短公告。Lai表示，盡管這些早期報(bào)告提供的信息有限，但安全團(tuán)隊(duì)不應(yīng)該忽視它們的重要性。實(shí)際上，追蹤不同安全來源的新聞和新聞標(biāo)題，來了解即將來臨的事件是非常重要的。

他說：“要關(guān)注將要發(fā)生的事，雖然這不會提供任何的細(xì)節(jié)，但有助于更好地為此做準(zhǔn)備，可以提前開始行動或做出計(jì)劃”

8. 響應(yīng)每一個新威脅

另一方面， Forrester Research公司的高級分析師Erik Nost對CISO們發(fā)出警告：響應(yīng)突發(fā)新聞之前，一定要事先對突發(fā)新聞進(jìn)行評估，并判斷該突發(fā)事件對自己組織的影響程度。

他表示，許多CISO越來越頻繁地學(xué)習(xí)如何處理零日漏洞以及那些登上新聞頭條的漏洞。識別哪些漏洞是新聞的轟動效應(yīng)以及哪些漏洞真正會對自己組織造成實(shí)際威脅是一項(xiàng)挑戰(zhàn)。但要求安全團(tuán)隊(duì)優(yōu)先補(bǔ)救發(fā)送到收信箱中的或CEO在新聞中看到的所有漏洞并不是一個正確的選擇。

Nost 指出，Cornell大學(xué)最近的一項(xiàng)分析顯示，APT(高級持續(xù)攻擊)利用已知漏洞的概率要大于利用零日漏洞的概率。因此CISO也應(yīng)該考慮到威脅人員，以及APT是否有可能盯上自己的組織?！?/p>

他說，比起琢磨媒體正在報(bào)道的東西，安全團(tuán)隊(duì)更應(yīng)該優(yōu)先考慮采取積極的實(shí)際措施。

Nost補(bǔ)充道，團(tuán)隊(duì)的時間很緊迫。如果他們“打地鼠”一樣地對推特上出現(xiàn)的每一個漏洞都進(jìn)行響應(yīng)的話，就會對評估自己組織面臨的風(fēng)險(xiǎn)失去積極性，也就無法積極地根據(jù)組織對風(fēng)險(xiǎn)的接受程度來優(yōu)先地修補(bǔ)那些更加嚴(yán)重的威脅和漏洞。一旦有零日漏洞或已知漏洞登上了新聞頭條，安全團(tuán)隊(duì)仍需要對此采取行動，所以，組織應(yīng)該具備對威脅進(jìn)行評估的程序。

9. 依靠過時的信息

Gartner 的董事會調(diào)查不僅顯示大多數(shù)董事會如今都將網(wǎng)絡(luò)安全問題視為一種風(fēng)險(xiǎn)，它還發(fā)現(xiàn)，大多數(shù)受訪者（57%）在2021-2022年期間對風(fēng)險(xiǎn)的重視有所增加或者預(yù)期會增加。與此同時，每年新發(fā)現(xiàn)的漏洞數(shù)量仍在逐年增長。而典型企業(yè)的IT環(huán)境也在不斷發(fā)展。

綜上所述，這些觀點(diǎn)都說明了CISO需要開發(fā)流程來重新審視和審查其組織用于漏洞修復(fù)優(yōu)先級的算法。

Gray表示，公司往往不擅長管理漏洞的生命周期。其總是在增長，總是在變化，是一件需要不斷關(guān)注的事情。

10. 沒有將安全性集成到開發(fā)中

Nocera表示，大多數(shù)組織并沒有在開發(fā)過程中引入安全和安全設(shè)計(jì)原則，這導(dǎo)致了CISO和CIO錯過了為其組織共同構(gòu)建更加高效的漏洞管理程序的機(jī)會。

Nocera還說，盡早將安全問題引入到開發(fā)過程中（或者“左移”），有助于讓CISO在代碼投入生產(chǎn)之前搶先解決安全問題。這樣也就減少了在環(huán)境中引入已知漏洞的概率?！?/p>

安全左移并不一定會減少漏洞管理的工作量，但如同下線遺留的系統(tǒng)和解決技術(shù)債務(wù)一樣，它釋放了資源，可以幫助團(tuán)隊(duì)優(yōu)化他們的漏洞管理工作。

點(diǎn)評

CISO是組織中處理安全風(fēng)險(xiǎn)的最高權(quán)威，他們負(fù)責(zé)組織中的每項(xiàng)安全措施，旨在幫助董事會或非技術(shù)人員更好地了解組織當(dāng)前與未來決策中所涉及的安全風(fēng)險(xiǎn)。在本職工作上，CISO需要對組織IT環(huán)境中所使用的代碼、組件以及組織在風(fēng)險(xiǎn)接受能力方面的特性有一個清晰充分的認(rèn)識，以便在威脅發(fā)生時，對其進(jìn)行準(zhǔn)確的定位，并對影響范圍以及修復(fù)優(yōu)先級進(jìn)行評估。

同時，安全從來都不只是安全團(tuán)隊(duì)獨(dú)立負(fù)責(zé)的工作。CISO要實(shí)現(xiàn)其安全任務(wù)，必須與其他部門進(jìn)行協(xié)作，其充當(dāng)了一個輔助決策的角色。因此，CISO應(yīng)以合適的方式將最為重要的安全信息提供給相關(guān)人員，使其能夠?qū)M織的安全情況以及面臨的威脅有一個清晰形象的認(rèn)識。

另一方面，CISO還需要將安全工作無縫地融入到其他部門的工作當(dāng)中，在不影響其他部門工作效率的基礎(chǔ)上，實(shí)現(xiàn)對安全的保證，只有這樣才能夠得到來自組織各個部門的支持，與之進(jìn)行協(xié)作，從而實(shí)現(xiàn)對組織全方面的安全防護(hù)。