漏洞管理依然是大多数安全计划的重要组成部分,全球绝大多数公司企业都认同这一点。
在安全公司Tripwire最近的一份网络健康状态调查中,80%的受访者称自家企业有漏洞扫描计划。约60%的受访者每天或每周进行一次扫描,40%的受访者表示每月、每季度或更长时间才扫描一次。有趣的是,仅一半的受访者称自家公司会进行经验证的扫描。
无论是远程还是代理,受信任的漏洞扫描(拥有扫描项目用的用户名和口令)要比端口扫描或者攻击视角的无凭证扫描方式更具可见性。也就是说,几乎一半的公司企业没有充分利用成熟漏洞扫描项目赋予的力量。若缺乏自身环境可见性,公司企业无疑就将自己放到了更多风险面前。
漏洞管理成熟度模型可以帮助公司企业更好地了解自身漏洞管理项目与既定目标之间的差距,方便找出实现安全项目目标的办法。
漏洞管理成熟度模型是什么?
第一个成熟度阶段被称为“落后的”。处在这一阶段的公司企业要么没有任何漏洞扫描,要么只做临时性的测试——通常就是第三方供应商做的某些渗透测试,也就是出个漏洞报告的程度。关键漏洞可能会得到修复。Tripwire的调查中,约11%的公司企业处在这一阶段。
第二个成熟度阶段被称为“勾选框式”。漏洞扫描以固定的频率在内部进行。在这一阶段,漏洞项目背后的驱动力往往只是某种监管规定要求。这意味着信息安全团队往往就只做监管要求的内容,不会更多。这很危险,因为大多数监管规定通常只包含绝大多数公司企业缓解风险和获取证书所需的最低通用要求。符合这样的监管规定,未必意味着公司企业能够切实提升自己的安全状况。合规不等同于安全。通常说来,合规标准都是普遍适用的,反应不出公司特定环境中安全团队应采取的具体措施。
第三个成熟度阶段是“有限的”。程序和过程定义良好,且为公司所理解,也受到管理层的一定支持。漏洞扫描更为频繁,创建的报告更适合具体受众:系统管理员收到漏洞报告,管理层收到风险趋势报告。
第四个成熟度阶段是“漏洞管理项目”。处在这一阶段的公司企业能产生并跟踪正式且可量化的指标,定义可接受风险水平,并设置了缓解过程。
第五个,也是最为成熟的一个阶段被称为“风险管理”。在这一阶段,漏洞管理是整个风险管理过程的一部分。漏洞管理数据随安全配置数据一起收集,提供全面的风险评估。
目前大多数公司企业都只处在“勾选框式”或“有限的”阶段,但他们真的想要达到“漏洞管理项目”或“风险管理”阶段。是什么阻碍了他们前进的脚步呢?通常都是资源匮乏导致的,匮乏的资源要么是时间,要么是资金,要么是人手。
于是,该如何说服通常不是信息安全专业出身的管理层看到漏洞管理项目的价值呢?
提升公司安全成熟度水平的3个步骤
首先,跟领导团队探讨公司风险耐受情况。向他们呈现一些风险,提供缓解成本和资源限制上的一些权衡,倾听他们在如何解决这些风险上的看法。想要确定风险阈值,就得把潜在后果翻译成对高管来说有意义的东西。比如说,如果某风险可能导致主要服务明年宕机4小时,这项风险是否需要升级到高管层面?如果仅引发30分钟的服务中断又会怎么样?此类风险真的需要升级到高管层吗?
其次,漏洞管理项目需与业务协调一致。与其成为总是说 “不” 的团队,不如找到可以推动公司达成年度业绩的方法。
最后,设立面向业务的指标,呈现漏洞管理项目的必要性和价值。例如,提供业务关键资产相对总资产的占比,可以一定程度上了解公司面对的总体风险情况。另外,用业绩指标表达你要交付的价值。例如,描述修复半数漏洞所需时间的缓解半程时间,就能显示公司减小风险并变得更加安全的速度。
Tripwire网络健康状态报告:
https://www.tripwire.com/misc/state-of-cyber-hygiene-report-register/