從使用“發(fā)現(xiàn)的風(fēng)險”作為關(guān)鍵績效指標(biāo)，轉(zhuǎn)向使用“補救的風(fēng)險”作為衡量成功的真正標(biāo)準(zhǔn)，這一變化改變了安全團(tuán)隊的激勵機制，促使他們專注于風(fēng)險補救。為了在規(guī)模上實現(xiàn)這一點，企業(yè)必須在降低風(fēng)險方面擺脫“救火”模式——這意味著他們必須停止追逐最新的關(guān)鍵問題--并變得更加積極主動。

以下是你可以采取的七個步驟，將你現(xiàn)有的漏洞和風(fēng)險管理流程和工作流程從消防轉(zhuǎn)變?yōu)橹鲃庸芾泶笠?guī)模風(fēng)險降低。

步驟1：收集-創(chuàng)建一個積壓工作來管理所有積壓工作

對你的安全測試工具采用基于調(diào)查結(jié)果的方法意味著你的典型補救過程從登錄到每個工具的儀表板開始。當(dāng)然，這需要學(xué)習(xí)每個工具的不同功能，并理解每個工具的調(diào)查結(jié)果語言。

要過渡到基于修復(fù)的方法，請從創(chuàng)建單個待辦事項開始。第一步是將來自所有測試工具的所有結(jié)果收集到一個集中位置，無論是電子表格、數(shù)據(jù)庫還是其他系統(tǒng)。

步驟2：整合-標(biāo)準(zhǔn)化、重復(fù)數(shù)據(jù)消除和利用上下文進(jìn)行豐富

現(xiàn)在你有了單一的積壓，向前邁進(jìn)一步，將所有調(diào)查結(jié)果標(biāo)準(zhǔn)化，以便它們使用統(tǒng)一的術(shù)語，從而使你能夠統(tǒng)一地執(zhí)行你的補救流程。畢竟，如果你想衡量結(jié)果，你需要對所有發(fā)現(xiàn)執(zhí)行相同的過程。這一標(biāo)準(zhǔn)化的積壓調(diào)查結(jié)果現(xiàn)在是所有后續(xù)活動的支柱。

你將看到你現(xiàn)在標(biāo)準(zhǔn)化的列表有重復(fù)的發(fā)現(xiàn)。刪除多余的內(nèi)容以縮短積壓工作的長度。

標(biāo)準(zhǔn)化列表還使你能夠識別影響同一資源的不同調(diào)查結(jié)果。在這一點上，你應(yīng)該用所有權(quán)背景來豐富調(diào)查結(jié)果，這是你未來需要的。例如，從配置管理數(shù)據(jù)庫(CMDB)收集元數(shù)據(jù)，以在以后分析誰擁有易受攻擊的計算機。

步驟3：選擇-決定執(zhí)行什么、誰、如何以及在哪里執(zhí)行補救行動

所有調(diào)查結(jié)果標(biāo)準(zhǔn)化后，你現(xiàn)在可以選擇如何通過多維優(yōu)先排序方法進(jìn)行補救，其中包括：

A.內(nèi)容：選擇是要根據(jù)外部上下文(例如，已知的自然漏洞利用)還是根據(jù)內(nèi)部上下文(例如，它所在的域-云、代碼等)來確定發(fā)現(xiàn)的優(yōu)先級。

B.誰：選擇補救項目的發(fā)送對象。要確定合適的團(tuán)隊，請分析你在步驟2中收集的資源元數(shù)據(jù)。

C.如何：通過圍繞補救行動進(jìn)行匯總，確定結(jié)果而不是問題的優(yōu)先順序。這意味著，如果你對不同的資源或不同的問題有相同的解決方案，則只會生成一個補救項目。

D.在哪里：選擇在哪個項目下為補救團(tuán)隊打開工單(例如，在Jira、ServiceNow或修復(fù)者使用的任何其他工單系統(tǒng)中)。

步驟4：路線-將補救項目送到補救團(tuán)隊手中

既然你知道誰將執(zhí)行修復(fù)以及要發(fā)送它們的補救操作列表，你就可以開始發(fā)送它們了。

在這個階段，你將意識到你能夠并行地進(jìn)行補救，而不是像今天通常所做的那樣以順序的方式進(jìn)行。

作為一個簡單的示例場景，假設(shè)你有兩個補救團(tuán)隊，Engineering和DevOps，并且你有150個關(guān)鍵發(fā)現(xiàn)。接下來，讓我們假設(shè)前100個調(diào)查結(jié)果都由Engineering修復(fù)，其余50個由DevOps修復(fù)。按順序完成列表將意味著工程團(tuán)隊的修復(fù)程序超負(fù)荷，而DevOps團(tuán)隊則未得到充分利用。但是，一旦你基于補救操作處理列表，并且你知道將進(jìn)行補救工作的團(tuán)隊，你就可以并行地補救部分積壓。

步驟5：面向接收的解決方案，而不是依賴于安全

這是使你能夠真正擴(kuò)展的步驟：通過創(chuàng)建程序化工作流來自動化積壓管理。實現(xiàn)這一點的關(guān)鍵是與其他企業(yè)流程同步，并在補救團(tuán)隊需要安全數(shù)據(jù)時使其可用，而不是在發(fā)現(xiàn)發(fā)現(xiàn)時提供。

首先，在補救項目和每個不同的補救團(tuán)隊使用的票務(wù)系統(tǒng)之間應(yīng)該有一個工作流程。這樣，當(dāng)發(fā)現(xiàn)問題時，票證將自動打開并定向到正確的團(tuán)隊，如步驟3中所定義。你甚至可以更進(jìn)一步，為每個票務(wù)系統(tǒng)創(chuàng)建統(tǒng)一的模板。

你的自動化工作流程應(yīng)該是雙向的，以便在票務(wù)系統(tǒng)中關(guān)閉票證時，你可以使用下一次測試掃描的結(jié)果進(jìn)行驗證。如果發(fā)現(xiàn)任何差異，請通過在補救團(tuán)隊的工作流工具中重新打開帶有相關(guān)詳細(xì)信息的票據(jù)來突出顯示它。

步驟6：補救-完成艱苦工作的地方

這是為補救安全問題而進(jìn)行的實際修復(fù)、緩解或風(fēng)險接受。這是補救過程中的關(guān)鍵部分，但作為安全團(tuán)隊，它不在你的直接控制范圍之內(nèi)。

步驟7：報告-衡量實際績效、效率和風(fēng)險降低

擁有將補救操作發(fā)送給正確的補救團(tuán)隊的自動路由流程，使你可以立即查看整個積壓及其狀態(tài)，而不僅僅是它是否得到了補救。這使你能夠跟蹤和衡量你的風(fēng)險降低過程。

有了這些數(shù)據(jù)，你可以衡量績效，還可以比較企業(yè)內(nèi)不同團(tuán)隊或組之間的補救績效。例如，你可以分析和比較不同的應(yīng)用程序在關(guān)鍵發(fā)現(xiàn)、總發(fā)現(xiàn)以及團(tuán)隊如何處理他們的罰單方面。

你現(xiàn)在還可以向利益相關(guān)者提供有關(guān)企業(yè)補救計劃的報告，使每個人都能夠了解該計劃的節(jié)奏和性能，以及統(tǒng)計數(shù)據(jù)，如新發(fā)現(xiàn)與已解決發(fā)現(xiàn)的比率、補救的平均時間和總體積壓狀態(tài)。

這種跟蹤使你能夠識別補救流程本身中的任何問題，并為安全團(tuán)隊提供數(shù)據(jù)，他們可以使用這些數(shù)據(jù)與相應(yīng)的補救團(tuán)隊更緊密地協(xié)作，以增強其流程并解決任何需要改進(jìn)的領(lǐng)域。

正是這種從產(chǎn)出轉(zhuǎn)移到結(jié)果的方法，應(yīng)該在消除安全成為補救過程中的瓶頸并使過程能夠擴(kuò)展方面發(fā)揮帶頭作用。