那是2003年,我在芝加哥的一次行業(yè)會(huì)議上進(jìn)行了我的首次網(wǎng)絡(luò)安全演講。我談到了當(dāng)時(shí)肆虐的蠕蟲和病毒(如MSBlast、SQLSlammer等),并向聽眾強(qiáng)調(diào)了強(qiáng)大漏洞和補(bǔ)丁管理的重要性。
到了問答環(huán)節(jié),一位聽眾總結(jié)了他的困境,并拋出了一個(gè)非常尖銳的問題:“我們同時(shí)面臨著數(shù)千個(gè)漏洞。我們?nèi)绾未_定哪些漏洞的優(yōu)先級(jí)?”
我籠統(tǒng)地回答:“基于已知的企業(yè)威脅進(jìn)行優(yōu)先級(jí)排序”或“基于資產(chǎn)的業(yè)務(wù)關(guān)鍵性進(jìn)行優(yōu)先級(jí)排序”。這個(gè)答案是準(zhǔn)確但模糊的。20多年過去了,這位聽眾的困境和問題仍然困擾著許多企業(yè)。
然而,發(fā)生變化的是問題的規(guī)模。2003年,大型企業(yè)面臨數(shù)千個(gè)活躍漏洞。如今,他們面臨的漏洞數(shù)量已達(dá)數(shù)十萬(wàn)甚至更多。與此同時(shí),許多企業(yè)仍面臨多年前的同樣挑戰(zhàn)——缺乏經(jīng)驗(yàn)豐富的員工、手動(dòng)流程、安全團(tuán)隊(duì)與其他團(tuán)隊(duì)(IT運(yùn)營(yíng)、軟件開發(fā))目標(biāo)不一致等。
由于現(xiàn)代企業(yè)依賴軟件運(yùn)行,漏洞管理不善會(huì)帶來嚴(yán)重的業(yè)務(wù)風(fēng)險(xiǎn)。那么,CISO們是如何改進(jìn)他們的計(jì)劃以更好地減輕風(fēng)險(xiǎn)的呢?在過去幾個(gè)月里,我與十幾位安全高管進(jìn)行了交談以找出答案。雖然我做了大量相關(guān)筆記,但他們的回答歸結(jié)為了以下十個(gè)最佳實(shí)踐。
漏洞管理的十個(gè)一致最佳實(shí)踐
1. 文化
成功的漏洞管理計(jì)劃始于在整個(gè)企業(yè)內(nèi)建立注重網(wǎng)絡(luò)安全的文化。許多CISO承認(rèn),他們面臨過歷史遺留的文化問題,其中一位對(duì)此進(jìn)行了很好的總結(jié)。“我們的網(wǎng)絡(luò)安全文化曾經(jīng)非常隨意,直到我們?cè)庥隽薒og4J漏洞和勒索軟件攻擊,”他告訴記者。“這些事件讓CEO和董事會(huì)如夢(mèng)初醒。他們聘請(qǐng)了我,調(diào)整了預(yù)算,并承諾將采取必要措施。”在這種文化轉(zhuǎn)變中,改進(jìn)漏洞管理成為首要任務(wù)。
2. 文檔記錄
大多數(shù)CISO都同意,漏洞管理的各個(gè)階段都應(yīng)得到妥善記錄、評(píng)估和審查。這是對(duì)他們長(zhǎng)期以來存在的漏洞管理問題沒有快速解決方案的重要認(rèn)識(shí)。
相反,企業(yè)必須深入漏洞管理生命周期的每個(gè)階段,尋找效率低下之處,制定改進(jìn)策略,并確定衡量進(jìn)度的正確指標(biāo)。CISO們還明白,這項(xiàng)工作沒有終點(diǎn),但可靠的記錄有助于所有階段持續(xù)改進(jìn),一刻不停。
3. 制定流程
我交談過的大多數(shù)CISO都大量借鑒了現(xiàn)有框架,但根據(jù)他們的業(yè)務(wù)、行業(yè)和企業(yè)需求進(jìn)行了定制。一旦制定完成,標(biāo)準(zhǔn)漏洞管理流程便可在整個(gè)企業(yè)中推行,并對(duì)其進(jìn)行持續(xù)監(jiān)控以尋求改進(jìn)。
一位CISO提到,她的企業(yè)在此基礎(chǔ)上更進(jìn)一步——在收購(gòu)一家公司后,安全團(tuán)隊(duì)有一個(gè)現(xiàn)成的計(jì)劃,可以將被收購(gòu)公司的漏洞管理計(jì)劃轉(zhuǎn)變?yōu)榉掀浼榷P偷挠?jì)劃,其中還包括衡量進(jìn)度的指標(biāo)。
4. 明確必要的安全數(shù)據(jù)
需要明確的是,這首先不是技術(shù)盤點(diǎn)工作。CISO們?cè)u(píng)估他們擁有哪些數(shù)據(jù),并將其與所需數(shù)據(jù)進(jìn)行比較。有了這些知識(shí)后,他們就可以指派員工去尋找能夠填補(bǔ)空白的技術(shù)。
5. 將集成嵌入到漏洞管理中
這同樣是一個(gè)學(xué)術(shù)性而非技術(shù)性的項(xiàng)目。它始于了解誰(shuí)需要什么數(shù)據(jù),以及這些數(shù)據(jù)來自哪里。一旦個(gè)人收到正確的數(shù)據(jù),他們會(huì)怎么處理這些數(shù)據(jù)?假設(shè)這一切都進(jìn)展順利,數(shù)據(jù)分析是否會(huì)觸發(fā)自動(dòng)或手動(dòng)操作?在映射了所有“輸入”和“輸出”組件后,CISO們通常會(huì)邀請(qǐng)供應(yīng)商合作伙伴參與審查。目標(biāo)是什么?讓他們參與進(jìn)來,使用必要的連接器、API和數(shù)據(jù)格式,將設(shè)計(jì)變?yōu)楝F(xiàn)實(shí)。
6. 確定用于優(yōu)先排序的正確指標(biāo)
這直接回應(yīng)了我在2003年被問到的問題。這也是漏洞管理與暴露管理相結(jié)合的地方,一切都與背景有關(guān)。漏洞資產(chǎn)的業(yè)務(wù)價(jià)值是什么?漏洞資產(chǎn)是否處于攻擊路徑上?是否有補(bǔ)償控制措施到位?補(bǔ)償控制措施最近是否經(jīng)過測(cè)試?
我知道這似乎是一個(gè)顯而易見的步驟,但我交談過的CISO們已經(jīng)將這一步驟以及更多因素納入了一個(gè)定制的風(fēng)險(xiǎn)評(píng)分系統(tǒng)中,這是整個(gè)計(jì)劃的核心。
7. 建立服務(wù)級(jí)別協(xié)議(SLA)規(guī)范
優(yōu)先級(jí)層次結(jié)構(gòu)與安全、IT、軟件開發(fā)和第三方風(fēng)險(xiǎn)管理團(tuán)隊(duì)之間嚴(yán)格的SLA相結(jié)合。例外情況很少見。許多企業(yè)在團(tuán)隊(duì)錯(cuò)過SLA截止日期時(shí)還有正式的審查流程。同樣,這里也需要持續(xù)改進(jìn)。
8. 制定緊急補(bǔ)丁程序
Log4Shell和SolarWinds等事件給許多CISO敲響了警鐘,他們意識(shí)到自己的企業(yè)在應(yīng)對(duì)這類緊急事件時(shí)毫無(wú)準(zhǔn)備。這一認(rèn)識(shí)促使CISO們創(chuàng)建、組建團(tuán)隊(duì)并測(cè)試專為這類事件設(shè)計(jì)的應(yīng)急響應(yīng)計(jì)劃。
一位CISO說:“雖然我對(duì)我們過去事件的應(yīng)對(duì)感到自豪,但多名團(tuán)隊(duì)成員連續(xù)幾周疲憊不堪,離職率也飆升。我們不能總靠英雄式的人物,我們需要一個(gè)可以依賴的系統(tǒng)化程序。我希望沒有‘下一次’,但如果有,我們將更有準(zhǔn)備。”
9. 使不同團(tuán)隊(duì)的目標(biāo)、指標(biāo)和薪酬保持一致
漏洞管理依賴于擁有強(qiáng)大溝通能力、一致指標(biāo)和共同目標(biāo)的跨職能團(tuán)隊(duì)——這是人員方面的因素。
這始于上文討論的致力于網(wǎng)絡(luò)安全文化的承諾,但我交談過的CISO們還與CIO、業(yè)務(wù)經(jīng)理和人力資源人員合作,創(chuàng)造了正確的工作流程、自動(dòng)化、報(bào)告、信息傳遞,甚至員工薪酬福利,以激勵(lì)不同群體和個(gè)人之間的合作。當(dāng)CISO與CIO定期攜手合作,發(fā)現(xiàn)瓶頸并審查進(jìn)度時(shí),安全工作會(huì)變得更加有效。
10.通過持續(xù)有效性測(cè)試加強(qiáng)漏洞管理
多年前,我創(chuàng)造了一個(gè)笨拙的縮寫SOPV,代表安全可觀測(cè)性、優(yōu)先級(jí)排序和驗(yàn)證。這個(gè)縮寫并未流行起來,但我交談過的CISO們已經(jīng)接受(或正在接受)連續(xù)安全驗(yàn)證測(cè)試的概念。
當(dāng)然,驗(yàn)證是漏洞管理生命周期的一個(gè)階段,那么發(fā)生了什么變化?許多公司已經(jīng)從定期滲透測(cè)試轉(zhuǎn)向使用新工具或托管服務(wù)的連續(xù)安全測(cè)試。MITRE將此稱為基于威脅的防御。通過這種方式,企業(yè)不僅可以驗(yàn)證漏洞修復(fù)情況,還可以測(cè)試控制措施的有效性,并為檢測(cè)規(guī)則工程提供藍(lán)圖。
CISO們還有許多其他戰(zhàn)爭(zhēng)故事和建議,但無(wú)論企業(yè)規(guī)模、位置或行業(yè)如何,上述十個(gè)建議都非常普遍。最后,我要報(bào)告另一個(gè)共同點(diǎn):用網(wǎng)絡(luò)安全領(lǐng)域一個(gè)常見的比喻來說,CISO們意識(shí)到,強(qiáng)大的漏洞管理是一場(chǎng)非線性之旅,而不是終點(diǎn)。
換句話說,這項(xiàng)工作永遠(yuǎn)沒有完成的時(shí)候,而是要不斷尋求改進(jìn)每一步和每一項(xiàng)任務(wù)。要保護(hù)現(xiàn)代企業(yè),總有大量工作要做,但這就是現(xiàn)實(shí)。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國(guó)內(nèi)主流的to B IT門戶,旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)