沒(méi)有正確的衡量標(biāo)準(zhǔn)，漏洞管理就毫無(wú)意義。如果你沒(méi)有測(cè)試，你怎么知道它起作用呢?那么，你怎么知道該專注于什么呢?這份清單可能是沒(méi)完沒(méi)了的，而且很難知道什么才是真正重要的。

在本文中，我們將幫助你確定跟蹤漏洞管理計(jì)劃狀態(tài)并創(chuàng)建審計(jì)就緒報(bào)告所需的關(guān)鍵指標(biāo)，其中包括：

• 證明你的安全狀態(tài)
• 滿足漏洞補(bǔ)救SLA和基準(zhǔn)
• 幫助通過(guò)審核和合規(guī)
• 展示安全工具的投資回報(bào)
• 簡(jiǎn)化風(fēng)險(xiǎn)分析
• 確定資源分配的優(yōu)先順序

為什么漏洞管理需要衡量標(biāo)準(zhǔn)

通過(guò)測(cè)試查找、區(qū)分優(yōu)先級(jí)和修復(fù)漏洞的速度，企業(yè)可以持續(xù)監(jiān)控和優(yōu)化企業(yè)網(wǎng)絡(luò)的安全性。有了正確的衡量標(biāo)準(zhǔn)，你可以確定哪些問(wèn)題是關(guān)鍵問(wèn)題，確定優(yōu)先解決哪些問(wèn)題，并衡量你的績(jī)效。歸根結(jié)底，正確的指標(biāo)使你能夠做出適當(dāng)?shù)闹闆Q策。

智能優(yōu)先級(jí)排序

沒(méi)有優(yōu)先順序和建議，你從哪里開(kāi)始呢?對(duì)最關(guān)鍵的漏洞進(jìn)行優(yōu)先級(jí)排序和修復(fù)比簡(jiǎn)單地找到每個(gè)漏洞更重要。

智能優(yōu)先排序和過(guò)濾噪音非常重要，因?yàn)楫?dāng)你被非必要的信息淹沒(méi)時(shí)，忽略真正的安全威脅太容易了。智能結(jié)果可以優(yōu)先處理對(duì)你的安全有實(shí)際影響的問(wèn)題，而不會(huì)給你帶來(lái)不相關(guān)的結(jié)果負(fù)擔(dān)，從而使你的工作更輕松。

對(duì)使你的面向互聯(lián)網(wǎng)的系統(tǒng)暴露的問(wèn)題進(jìn)行優(yōu)先排序，可以最大限度地減少你的攻擊面。入侵者通過(guò)解釋風(fēng)險(xiǎn)并提供可行的補(bǔ)救建議，使漏洞管理變得容易。

是時(shí)候解決問(wèn)題了

你希望能夠盡快解決問(wèn)題。尤其是在攻擊者發(fā)現(xiàn)和利用漏洞之間的平均時(shí)間只有12天的情況下。入侵者解釋來(lái)自各種掃描儀的輸出，并根據(jù)上下文確定結(jié)果的優(yōu)先順序，從而節(jié)省你專注于真正重要的事情的時(shí)間。修復(fù)問(wèn)題需要多長(zhǎng)時(shí)間取決于你自己，這會(huì)給你一個(gè)關(guān)于你的“網(wǎng)絡(luò)衛(wèi)生”的最新快照--掃描覆蓋范圍，六個(gè)月內(nèi)修復(fù)問(wèn)題所需的時(shí)間，以及整體修復(fù)問(wèn)題的平均時(shí)間。

每個(gè)漏洞管理計(jì)劃的3個(gè)頂級(jí)指標(biāo)

掃描覆蓋范圍

你在追蹤和掃描什么?掃描覆蓋范圍包括你要覆蓋的所有資產(chǎn)以及對(duì)所有業(yè)務(wù)關(guān)鍵型資產(chǎn)和應(yīng)用程序的分析，以及提供的身份驗(yàn)證類型(例如，基于用戶名和密碼的身份驗(yàn)證或未經(jīng)身份驗(yàn)證的身份驗(yàn)證)。

平均修復(fù)時(shí)間

你的團(tuán)隊(duì)修復(fù)你的關(guān)鍵漏洞所花費(fèi)的時(shí)間顯示了你的團(tuán)隊(duì)在對(duì)任何報(bào)告的漏洞做出反應(yīng)時(shí)的響應(yīng)程度。這一比例應(yīng)始終較低，因?yàn)榘踩珗F(tuán)隊(duì)負(fù)責(zé)解決問(wèn)題，并向管理層傳遞補(bǔ)救信息和行動(dòng)計(jì)劃。

風(fēng)險(xiǎn)分值

每個(gè)問(wèn)題的嚴(yán)重性由你的掃描儀自動(dòng)計(jì)算，通常為嚴(yán)重、高或中等。如果你決定不在指定時(shí)間段內(nèi)修補(bǔ)特定或一組漏洞，這是對(duì)風(fēng)險(xiǎn)的接受。對(duì)于入侵者，如果你愿意承擔(dān)風(fēng)險(xiǎn)，并且有緩解因素，你可以暫停一個(gè)問(wèn)題。

你需要用什么指標(biāo)來(lái)向管理層展示?

你想要報(bào)告的指標(biāo)取決于你向誰(shuí)報(bào)告。如果是首席技術(shù)官或高級(jí)管理層，他們只想知道業(yè)務(wù)受到保護(hù)，他們正在獲得投資回報(bào)。例如，是否有任何新的關(guān)鍵問(wèn)題，修復(fù)的速度有多快，還有多少問(wèn)題仍未解決(以及原因)。

確保所有東西都準(zhǔn)備好了

你是否正在從你的IT環(huán)境中的每一項(xiàng)資產(chǎn)中獲取一切?像Intruder這樣的現(xiàn)代掃描儀提供自動(dòng)化的審計(jì)就緒報(bào)告，但重要的是知道你的所有數(shù)字資產(chǎn)在哪里，以避免盲點(diǎn)、未打補(bǔ)丁的系統(tǒng)和不準(zhǔn)確的報(bào)告-這就是資產(chǎn)發(fā)現(xiàn)對(duì)于成功的漏洞管理不可或缺的原因。通過(guò)確保覆蓋你的所有數(shù)字資產(chǎn)，你可以驗(yàn)證在你的最關(guān)鍵系統(tǒng)的補(bǔ)救計(jì)劃中應(yīng)優(yōu)先考慮哪些內(nèi)容。

漏洞管理指標(biāo)走向何方?

平均檢測(cè)時(shí)間

這就是漏洞公之于眾的關(guān)鍵所在，因?yàn)槲覀円呀?jīng)掃描了所有目標(biāo)并檢測(cè)到了漏洞。從本質(zhì)上講，檢測(cè)整個(gè)攻擊面的漏洞以減少攻擊者的機(jī)會(huì)窗口的速度有多快。

攻擊面可見(jiàn)性

很少有人足夠幸運(yùn)地控制并100%看到他們的攻擊面。這就是攻擊面發(fā)現(xiàn)的用武之地。你將擁有你知道的或你已經(jīng)找到的資產(chǎn)的總數(shù)，但其中有多少被漏洞管理計(jì)劃覆蓋?你希望看到的是你的漏洞管理程序在整個(gè)攻擊面上保護(hù)的資產(chǎn)的百分比，無(wú)論是已發(fā)現(xiàn)的還是未發(fā)現(xiàn)的。

平均通知時(shí)間

優(yōu)先排序-或智能結(jié)果-對(duì)于衡量和幫助你決定首先解決哪些問(wèn)題越來(lái)越重要，因?yàn)樗鼈儠?huì)對(duì)業(yè)務(wù)產(chǎn)生影響。

展望未來(lái)：是時(shí)候修正了

你希望正確的人——那些真正解決問(wèn)題的人——盡快獲得他們需要的信息。這意味著包括基于角色的訪問(wèn)控制(RBAC)等功能，它可以將修復(fù)時(shí)間從幾小時(shí)或幾天減少到幾分鐘左右。

衡量和分析的要素

衡量和分析的要素為利益相關(guān)者和合規(guī)性審核員提供審核就緒報(bào)告，其中包含優(yōu)先處理的漏洞以及與你的問(wèn)題跟蹤工具的集成。查看易受攻擊的內(nèi)容，并獲得管理網(wǎng)絡(luò)風(fēng)險(xiǎn)所需的確切優(yōu)先級(jí)、補(bǔ)救措施、洞察力和自動(dòng)化。