多起數據泄露事件都可以追溯到未修補的漏洞,其中包括2017年信用報告機構Equifax公司的大規模數據泄露事件。Tripwire公司在2019年的一項研究發現,27%的違規事件是由未修補的漏洞引起的,而Ponemon公司在2018年開展的一項研究表明這一數字高達60%。
這不會讓安全領域的任何人感到驚訝:在過去幾年中,發現的漏洞數量每年都在增加。
與此同時,安全團隊也不堪重負,因為他們一直在忙于實現安全的遠程工作和解決其他與新冠疫情相關的問題,同時還要應對人員短缺問題。
因此,改進漏洞管理計劃并不總是首要任務。然而,一些資深安全負責人表示,他們看到了可以而且應該解決的常見錯誤和失誤,以加強這些計劃。以下是他們指出的首席信息安全官仍然經常會犯的10個錯誤:
1.未能獲得企業高管支持
良好的漏洞管理計劃所需的工作遠遠超出了安全團隊的范圍。風險決策需要企業管理層的投入,修補漏洞需要IT專業知識,計劃的更新停機時間會影響多個業務功能。
因此,首席信息安全官需要企業中多個參與者的支持才能很好地完成這項任務,托管服務提供商Thrive公司首席技術官Michael Gray表示,當首席信息安全官得到企業高層領導的支持時,他們更有可能獲得成功。
另一方面,缺乏企業高管層對其漏洞管理工作的支持的首席信息安全官可能會因對可接受的風險缺乏明確性以及IT和業務部門對安排修補和系統停機時間的反對而受阻。
但也有一些好消息,Gray和其他人表示,隨著網絡安全已成為企業董事會的關注點,首席信息安全官越來越多地發現他們需要高管的支持。研究機構Gartner公司的數據證實了這一趨勢,該公司在2021年的調查發現,88%的企業董事會現在將網絡安全視為一種業務風險。
2.沒有培養共同的責任感
Under Armour公司首席信息安全官Alex Attumalil說,“首席信息安全官不應全部承擔漏洞管理的責任或風險。”
首席信息安全官并不擁有他們支持的系統或業務功能,也無權單獨確定企業是否愿意接受任何特定風險。
他說,“我們不能完全代表企業接受風險。這需要與其他企業領導者溝通風險,根據業務風險制定漏洞管理框架,并讓他們成為解決方案的一部分。他們需要知道自己應該對系統引入的漏洞負責。”
Attumalil表示,這種方法讓首席信息安全官以外的企業高管參與其中,這一舉措在漏洞管理工作(例如安排系統停機時間進行修補)方面建立了更多支持和協作。
3.使用通用風險優先級
Pulse公司最近為安全供應商Vulcan Cyber??公司進行的一項研究表明,在200多名做出響應的企業IT和安全主管中,絕大多數都沒有根據其企業自身獨特的風險狀況對漏洞進行優先級排序。更具體地說,該研究表明,86%的受訪者表示將依賴第三方漏洞嚴重性數據來確定漏洞的優先級,70%的人還使用第三方威脅情報。
資深安全領導人警告不要采用這種方法,稱這可能會讓首席信息安全官及其團隊將有限的資源集中在錯誤的威脅上。
KLC咨詢公司為美國國防承包商提供網絡安全建議和vCISO服務,其總裁兼首席信息安全官Kyle Lai建議采用不同的方法。他表示,首席信息安全官及其團隊必須了解企業自身的技術環境,并擁有最新的資產清單,他們必須了解企業的風險偏好和風險承受能力,以便他們能夠識別對自己企業的最大威脅,并優先消除這些威脅。
他說,“他們應該了解特定威脅可能產生的影響有多大,應該知道哪些威脅更嚴重。并且根據對自己所在企業的影響來確定優先順序。”
4.忽略安全培訓
Lexmark International公司首席信息安全官Bryan Willett認識到,修補Linux系統所需的技能與修補Windows所需的技能不同,而這些技能也不同于在其漏洞管理程序中執行其他任務所需的技能。
此外,他的安全工作人員對漏洞管理所需的知識與IT工作人員在實際系統中進行修補所需的知識不同。
他說,“所以我希望這些團隊接受必要的培訓,以承擔起他們的責任。”
但安全領導者表示,并非所有企業都致力于提供員工所需的持續安全教育,以提供世界一流的安全性,更具體地說是強大的漏洞管理功能。專家表示,企業有時會低估漏洞管理任務所需的專業化程度,或者他們忽略了對員工進行自身企業內使用的特定系統或工具進行培訓的必要性。
Willett補充說,“每個人都需要記住的是,員工想要做正確的事情,但我們必須對他們進行投資,讓他們能夠做正確的事情。”
5.未能跟蹤代碼
Linux基金會的研究表明,越來越多的企業正在使用軟件材料清單(SBOM)來更好地理解他們系統中的所有代碼。更具體地說,該報告表明,47%的企業正在生產或使用軟件材料清單(SBOM),78%的企業預計將在2022年生產或使用軟件材料清單(SBOM)(高于2021年的66%)。
盡管這些數字顯示軟件材料清單(SBOM)的使用有所增加,但它們仍然表明許多企業可能無法了解其IT環境中的所有代碼。Lai表示,缺乏可見性限制了他們了解自己是否存在需要解決的漏洞的能力。
他說,“你必須知道有什么代碼和什么開源組件,所以當像Log4J這樣的漏洞出現時,就知道它存在的所有地方。”
6.推遲升級
專業服務商普華永道公司網絡與隱私創新研究所負責人Joe Nocera表示,盡管漏洞管理是一項永無止境的任務,但可以通過解決技術債務將其納入更有效的計劃中。
正如Nocera解釋的那樣:“越能淘汰舊版本或在標準堆棧上整合,就越不需要管理漏洞。這就是我認為簡化和整合是可以獲得的最佳力量倍增器的原因。”
Nocera承認,淘汰遺留系統和解決技術債務當然不會消除漏洞。但是擺脫遺留系統確實會消除一些工作,它可以讓企業擺脫不再能夠打補丁的系統,從而降低風險。
他說,通過解決這些問題,安全團隊及其IT同行可以將重點轉移到解決剩余的優先事項上,從而使該計劃更加有效和有影響力。
盡管這種方法有諸多好處,但許多企業并沒有將其作為優先事項:遠程監控和管理云平臺制造商Action1公司發布的2022年端點管理和安全趨勢報告發現,只有34%的受訪者計劃專注于消除他們已采用云計算替代品取代的風險遺留軟件。
7.忽略有關新興威脅的新聞
關于新漏洞或新出現威脅的最初警告通常來自缺乏大量細節的簡短公告。盡管這些早期報告附帶的信息有限,但安全團隊不應該忽視它們的重要性。Lai表示,事實上,跟蹤來自各種安全來源的新聞和頭條以了解即將發生的事情至關重要。
他說,“你想關注即將發生的事情。他們可能不會提供任何細節,但這種類型的情報可以幫助企業更好地做好準備,可以開始工作或做好計劃。”
8.應對每個新的威脅
另一方面,Forrester Research公司高級分析師Erik Nost警告首席信息安全官,不要在沒有首先評估突發新聞是否會影響到他們自己的企業,以及影響到多大程度的情況下對突發新聞做出反應。
他說,“許多首席信息安全官仍在學習如何處理零日漏洞以及成為新聞頭條的漏洞,這些漏洞的出現頻率越來越高。梳理一些聳人聽聞的新聞,以及哪些漏洞對他們的企業構成實際威脅是一項挑戰,但要求團隊修復他們收件箱或首席執行官在新聞頭條中看到的所有內容并不是正確的方法。”
Nost指出,康奈爾大學最近的一項分析表明,高級持續性威脅(APT)比零日漏洞更有可能利用已知漏洞。因此,Nost說,“首席信息安全官還應該考慮威脅行為者,并考慮高級持續性威脅(APT)是否可能針對他們的企業進行攻擊。”
他說,安全團隊應該將主動攻擊視為更好的優先考慮因素,而不是媒體談論的內容。
Nost補充說,“團隊的時間緊迫。如果他們試圖修補出現在Twitter上的每個漏洞,那么他們就沒有根據他們可接受的風險偏好積極評估特定于他們企業的風險,并修復作為最大威脅的漏洞。如果存在成為新聞頭條的零日漏洞或漏洞,可能仍需要采取行動,因此其團隊應該制定有關如何評估威脅的程序。只需記住遵守既定的行動手冊、風險偏好和威脅分析程序。”
9.依賴過時的信息
Gartner公司的調查顯示,大多數董事會成員現在將網絡安全視為一種風險,而且還發現大多數(57%)董事會成員在2021~2022年期間增加或預計增加風險偏好。與此同時,每年新發現的漏洞數量繼續增長。傳統企業的IT環境也在不斷發展。
專家表示,這些要點表明,首席信息安全官需要制定流程,重新審視和審查其計算方法,以確定漏洞緩解和補救的優先級。
Gray說,“很多時候,企業并不擅長管理漏洞的生命周期,而漏洞數量一直在增長,并且不斷變化,這是需要不斷關注的事情。”
10.沒有將安全嵌入到開發過程中
Nocera表示,將安全和安全設計原則嵌入到開發過程中的企業并不多,這導致首席信息安全官和首席信官錯失了為他們的企業共同構建更強大的漏洞管理計劃的機會。
Nocera說,將安全性更早地引入開發過程(或“左移”),可以讓首席信息安全官在代碼投入生產之前提前解決安全問題,所以不會在環境中引入已知的漏洞。
Nocera說,左移不一定會減少漏洞管理工作的數量,但就像消除遺留系統和技術債務一樣,它確實可以釋放資源,以便團隊可以優化他們的漏洞管理工作。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號