個性化、復(fù)雜性流程正在制約漏洞管理能力

當(dāng)前，漏洞管理已成為網(wǎng)絡(luò)安全管理不可或缺的手段，其生命周期閉環(huán)管理運(yùn)營流程的優(yōu)劣性直接影響漏洞管理能力。而不同組織的漏洞生命周期管理流程充滿了個性化、復(fù)雜性的特點(diǎn)。

首先，國家/行業(yè)/區(qū)域漏洞管理、漏洞公開披露、眾測漏洞管理、常規(guī)安全運(yùn)維中的漏洞管理、應(yīng)用安全漏洞管理、DevSecOps漏洞管理、供應(yīng)鏈漏洞管理、安全加固服務(wù)外包漏洞管理等不同場景中，出發(fā)點(diǎn)、管理對象、工作內(nèi)容、側(cè)重點(diǎn)有差異，且不同組織可能會交叉存在多個管理場景。其次，不同組織企業(yè)文化、管理方式、技術(shù)能力的不同也是造成個性化、復(fù)雜性的重要因素。

兼容并蓄，降低流程個性化、復(fù)雜性程度

如何構(gòu)建貼合組織實際情況的管理流程，并能夠在運(yùn)行過程中持續(xù)優(yōu)化和提升成為挑戰(zhàn)。方法就是借鑒和吸收通用性框架，逐步降低個性化、復(fù)雜性程度。

縱觀業(yè)內(nèi)眾多的各類漏洞管理流程通用性框架，攝星科技結(jié)合多年為國家監(jiān)管、行業(yè)監(jiān)管、重要關(guān)基企業(yè)、安全運(yùn)維外包服務(wù)商提供漏洞管理流程建設(shè)服務(wù)經(jīng)驗，選取有代表性的、可借鑒性強(qiáng)的四個典型框架進(jìn)行分享。這四個框架各有其側(cè)重點(diǎn)、適用范圍，用戶可根據(jù)自身實際需求取其精華，兼容并蓄，形成貼合自身的運(yùn)營流程。

1.《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》（GBT30276-2020）

《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》（GBT30276-2020）適用于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者、網(wǎng)絡(luò)運(yùn)營者、漏洞收錄組織、漏洞應(yīng)急組織等開展的網(wǎng)絡(luò)安全漏洞管理活動，其適用對象較廣。

規(guī)定了網(wǎng)絡(luò)安全漏洞管理流程各階段(包括漏洞發(fā)現(xiàn)和報告、接收、驗證、處置、發(fā)布、跟蹤)的管理流程、管理要求以及證實方法。

所定義的流程和階段如下:

2. CISA網(wǎng)絡(luò)安全事件及漏洞響應(yīng)手冊（Federal Government Cybersecurity Incident and Vulnerability Response Playbooks）

CISA網(wǎng)絡(luò)安全事件及漏洞響應(yīng)手冊用以改善和標(biāo)準(zhǔn)化美聯(lián)邦機(jī)構(gòu)識別、修復(fù)漏洞，以及從網(wǎng)絡(luò)安全事件和漏洞事件中恢復(fù)的方法。

響應(yīng)手冊定義的漏洞管理流程如下，包括識別、評估、修復(fù)和報告漏洞四個階段。

CISA認(rèn)為，確定漏洞響應(yīng)優(yōu)先級并保護(hù)自己不受損害的最直接有效的方法之一就是關(guān)注那些已經(jīng)被積極在野利用的漏洞。為此，專門建立了CISA已知被積極利用漏洞目錄（Known Expolited vulnerabilities calalog）。攝星科技已同步在官網(wǎng)發(fā)布“關(guān)鍵漏洞目錄”。

流程規(guī)范了應(yīng)對緊急和高優(yōu)先級漏洞時應(yīng)遵循的高級進(jìn)程。它不是現(xiàn)有漏洞管理程序的替代品，而是建立在現(xiàn)有漏洞管理實踐的基礎(chǔ)上。

3. OWASP漏洞管理指南（OWASP Vulnerability Management Guide (OVMG) ）

OWASP漏洞管理指南的目標(biāo)是通過將復(fù)雜的漏洞管理問題分解為更易于管理的可重復(fù)動作（檢測、報告和修復(fù)）。側(cè)重于在漏洞生命周期中構(gòu)建可重復(fù)的過程。

OVMG實施時，建議從“小”開始，然后在“生命周期”中逐步細(xì)化每個任務(wù)和子任務(wù)。使業(yè)務(wù)通過漏洞管理計劃的實施而變得更具彈性。

OVMG的管理流程由檢測（Detection）、報告（Reporting）、修復(fù)（Remediation）三個閉環(huán)組成。

每個閉環(huán)包含四個主要流程。每個流程都是一個包含待辦事項的任務(wù)列表。所有任務(wù)都有“輸入”和“輸出”。

漏洞管理的周期性意味著持續(xù)的流程改進(jìn)，單個流程如何融入其它流程、任務(wù)如何跨三個閉環(huán)相互關(guān)聯(lián)對流程建立和改進(jìn)至關(guān)重要。

(1) 檢測閉環(huán)（Detection Cycle ）

檢測閉環(huán)定義了誰、時間、地點(diǎn)、原因和方式執(zhí)行漏洞測試的任務(wù)。

檢測閉環(huán)包含的流程、目標(biāo)、任務(wù)列表如下：

(2) 報告閉環(huán)（Reporting Cycle ）

報告閉環(huán)的目標(biāo)是幫助組織以可衡量的方式了解漏洞。側(cè)重于學(xué)習(xí)、分類和創(chuàng)建組織性、有意義的指標(biāo)，這些指標(biāo)將成為漏洞管理報告的基礎(chǔ)。

報告閉環(huán)包含的流程、目標(biāo)、任務(wù)列表如下：

(3) 修復(fù)閉環(huán)（Remediation Cycle）

修復(fù)閉環(huán)的目標(biāo)是減少或消除修復(fù)漏洞的工作，或提供證據(jù)說明特定漏洞不是威脅的原因。側(cè)重于確定修復(fù)工作的優(yōu)先事項和條款，討論和記錄誤報，以及處理異常情況。

修復(fù)閉環(huán)包含的流程、目標(biāo)、任務(wù)列表如下：

4. SANS漏洞管理成熟度模型（Vulnerability Management Maturity Model）

敏捷開發(fā)、DevOps、云技術(shù)和虛擬化使組織能夠以極快的速度構(gòu)建和部署系統(tǒng)。同時，陳舊繁瑣的安全性和合規(guī)性測試方法無法跟上新技術(shù)發(fā)展。因此，漏洞管理人員需要了解并使用開發(fā)人員和工程師正在使用的相同工具和技術(shù)，能夠快速且經(jīng)常性的生成測試結(jié)果，從而不會影響整個組織業(yè)務(wù)發(fā)展的速度。

大多數(shù)大型組織面臨的突出問題是漏洞數(shù)量巨大，所有組織都在努力應(yīng)對基礎(chǔ)架構(gòu)和應(yīng)用程序中層出不窮的新漏洞。當(dāng)以越來越快的速度向內(nèi)部和外部客戶提供系統(tǒng)、應(yīng)用程序和功能時，安全性也應(yīng)得到切實保障。

SANS漏洞管理成熟度模型提供了流程、成熟度級別劃分，資產(chǎn)、漏洞、威脅的上下文信息以及關(guān)鍵度量指標(biāo)（Key Metrics）。可參考此模型來完善漏洞管理程序。

SANS漏洞管理成熟度模型將生命周期管理流程分為準(zhǔn)備（Prepare）、識別（Identify）、分析（Analyze）、交流（Communicate）、處置（Treat）五個環(huán)節(jié)。每個環(huán)節(jié)又劃分為Initial（Level 1）、Managed（Level 2）、Defined（Level 3）、Quantitatively Managed（Level 4）、Optimizing（Level 5）五個成熟度級別。