那是2003年，我在芝加哥的一次行業(yè)會議上進行了我的首次網(wǎng)絡(luò)安全演講。我談到了當時肆虐的蠕蟲和病毒(如MSBlast、SQLSlammer等)，并向聽眾強調(diào)了強大漏洞和補丁管理的重要性。

到了問答環(huán)節(jié)，一位聽眾總結(jié)了他的困境，并拋出了一個非常尖銳的問題：“我們同時面臨著數(shù)千個漏洞。我們?nèi)绾未_定哪些漏洞的優(yōu)先級?”

我籠統(tǒng)地回答：“基于已知的企業(yè)威脅進行優(yōu)先級排序”或“基于資產(chǎn)的業(yè)務(wù)關(guān)鍵性進行優(yōu)先級排序”。這個答案是準確但模糊的。20多年過去了，這位聽眾的困境和問題仍然困擾著許多企業(yè)。

然而，發(fā)生變化的是問題的規(guī)模。2003年，大型企業(yè)面臨數(shù)千個活躍漏洞。如今，他們面臨的漏洞數(shù)量已達數(shù)十萬甚至更多。與此同時，許多企業(yè)仍面臨多年前的同樣挑戰(zhàn)——缺乏經(jīng)驗豐富的員工、手動流程、安全團隊與其他團隊(IT運營、軟件開發(fā))目標不一致等。

由于現(xiàn)代企業(yè)依賴軟件運行，漏洞管理不善會帶來嚴重的業(yè)務(wù)風險。那么，CISO們是如何改進他們的計劃以更好地減輕風險的呢?在過去幾個月里，我與十幾位安全高管進行了交談以找出答案。雖然我做了大量相關(guān)筆記，但他們的回答歸結(jié)為了以下十個最佳實踐。

漏洞管理的十個一致最佳實踐

1. 文化

成功的漏洞管理計劃始于在整個企業(yè)內(nèi)建立注重網(wǎng)絡(luò)安全的文化。許多CISO承認，他們面臨過歷史遺留的文化問題，其中一位對此進行了很好的總結(jié)。“我們的網(wǎng)絡(luò)安全文化曾經(jīng)非常隨意，直到我們遭遇了Log4J漏洞和勒索軟件攻擊，”他告訴記者。“這些事件讓CEO和董事會如夢初醒。他們聘請了我，調(diào)整了預算，并承諾將采取必要措施?！痹谶@種文化轉(zhuǎn)變中，改進漏洞管理成為首要任務(wù)。

2. 文檔記錄

大多數(shù)CISO都同意，漏洞管理的各個階段都應(yīng)得到妥善記錄、評估和審查。這是對他們長期以來存在的漏洞管理問題沒有快速解決方案的重要認識。

相反，企業(yè)必須深入漏洞管理生命周期的每個階段，尋找效率低下之處，制定改進策略，并確定衡量進度的正確指標。CISO們還明白，這項工作沒有終點，但可靠的記錄有助于所有階段持續(xù)改進，一刻不停。

3. 制定流程

我交談過的大多數(shù)CISO都大量借鑒了現(xiàn)有框架，但根據(jù)他們的業(yè)務(wù)、行業(yè)和企業(yè)需求進行了定制。一旦制定完成，標準漏洞管理流程便可在整個企業(yè)中推行，并對其進行持續(xù)監(jiān)控以尋求改進。

一位CISO提到，她的企業(yè)在此基礎(chǔ)上更進一步——在收購一家公司后，安全團隊有一個現(xiàn)成的計劃，可以將被收購公司的漏洞管理計劃轉(zhuǎn)變?yōu)榉掀浼榷Ｐ偷挠媱?，其中還包括衡量進度的指標。

4. 明確必要的安全數(shù)據(jù)

需要明確的是，這首先不是技術(shù)盤點工作。CISO們評估他們擁有哪些數(shù)據(jù)，并將其與所需數(shù)據(jù)進行比較。有了這些知識后，他們就可以指派員工去尋找能夠填補空白的技術(shù)。

5. 將集成嵌入到漏洞管理中

這同樣是一個學術(shù)性而非技術(shù)性的項目。它始于了解誰需要什么數(shù)據(jù)，以及這些數(shù)據(jù)來自哪里。一旦個人收到正確的數(shù)據(jù)，他們會怎么處理這些數(shù)據(jù)?假設(shè)這一切都進展順利，數(shù)據(jù)分析是否會觸發(fā)自動或手動操作?在映射了所有“輸入”和“輸出”組件后，CISO們通常會邀請供應(yīng)商合作伙伴參與審查。目標是什么?讓他們參與進來，使用必要的連接器、API和數(shù)據(jù)格式，將設(shè)計變?yōu)楝F(xiàn)實。

6. 確定用于優(yōu)先排序的正確指標

這直接回應(yīng)了我在2003年被問到的問題。這也是漏洞管理與暴露管理相結(jié)合的地方，一切都與背景有關(guān)。漏洞資產(chǎn)的業(yè)務(wù)價值是什么?漏洞資產(chǎn)是否處于攻擊路徑上?是否有補償控制措施到位?補償控制措施最近是否經(jīng)過測試?

我知道這似乎是一個顯而易見的步驟，但我交談過的CISO們已經(jīng)將這一步驟以及更多因素納入了一個定制的風險評分系統(tǒng)中，這是整個計劃的核心。

7. 建立服務(wù)級別協(xié)議(SLA)規(guī)范

優(yōu)先級層次結(jié)構(gòu)與安全、IT、軟件開發(fā)和第三方風險管理團隊之間嚴格的SLA相結(jié)合。例外情況很少見。許多企業(yè)在團隊錯過SLA截止日期時還有正式的審查流程。同樣，這里也需要持續(xù)改進。

8. 制定緊急補丁程序

Log4Shell和SolarWinds等事件給許多CISO敲響了警鐘，他們意識到自己的企業(yè)在應(yīng)對這類緊急事件時毫無準備。這一認識促使CISO們創(chuàng)建、組建團隊并測試專為這類事件設(shè)計的應(yīng)急響應(yīng)計劃。

一位CISO說：“雖然我對我們過去事件的應(yīng)對感到自豪，但多名團隊成員連續(xù)幾周疲憊不堪，離職率也飆升。我們不能總靠英雄式的人物，我們需要一個可以依賴的系統(tǒng)化程序。我希望沒有‘下一次’，但如果有，我們將更有準備?！?/p>

9. 使不同團隊的目標、指標和薪酬保持一致

漏洞管理依賴于擁有強大溝通能力、一致指標和共同目標的跨職能團隊——這是人員方面的因素。

這始于上文討論的致力于網(wǎng)絡(luò)安全文化的承諾，但我交談過的CISO們還與CIO、業(yè)務(wù)經(jīng)理和人力資源人員合作，創(chuàng)造了正確的工作流程、自動化、報告、信息傳遞，甚至員工薪酬福利，以激勵不同群體和個人之間的合作。當CISO與CIO定期攜手合作，發(fā)現(xiàn)瓶頸并審查進度時，安全工作會變得更加有效。

10.通過持續(xù)有效性測試加強漏洞管理

多年前，我創(chuàng)造了一個笨拙的縮寫SOPV，代表安全可觀測性、優(yōu)先級排序和驗證。這個縮寫并未流行起來，但我交談過的CISO們已經(jīng)接受(或正在接受)連續(xù)安全驗證測試的概念。

當然，驗證是漏洞管理生命周期的一個階段，那么發(fā)生了什么變化?許多公司已經(jīng)從定期滲透測試轉(zhuǎn)向使用新工具或托管服務(wù)的連續(xù)安全測試。MITRE將此稱為基于威脅的防御。通過這種方式，企業(yè)不僅可以驗證漏洞修復情況，還可以測試控制措施的有效性，并為檢測規(guī)則工程提供藍圖。

CISO們還有許多其他戰(zhàn)爭故事和建議，但無論企業(yè)規(guī)模、位置或行業(yè)如何，上述十個建議都非常普遍。最后，我要報告另一個共同點：用網(wǎng)絡(luò)安全領(lǐng)域一個常見的比喻來說，CISO們意識到，強大的漏洞管理是一場非線性之旅，而不是終點。

換句話說，這項工作永遠沒有完成的時候，而是要不斷尋求改進每一步和每一項任務(wù)。要保護現(xiàn)代企業(yè)，總有大量工作要做，但這就是現(xiàn)實。