漏洞管理工作是企業(yè)安全建設(shè)必不可少的一環(huán)，在風(fēng)險(xiǎn)管理工作中，漏洞管理能夠防患于未然，企業(yè)對(duì)漏洞管理有著廣泛的基礎(chǔ)建設(shè)和實(shí)踐經(jīng)驗(yàn)。但隨著攻防技術(shù)的發(fā)展，傳統(tǒng)漏洞管理的安全技術(shù)和管理過(guò)程，開(kāi)始面對(duì)越來(lái)越多的挑戰(zhàn)。怎樣提高企業(yè)的漏洞管理水平成了安全管理人員需要去思考的問(wèn)題。

[[250043]]

從內(nèi)部來(lái)看，已經(jīng)制定了漏洞管理制度，有專(zhuān)人負(fù)責(zé)漏洞掃描和修補(bǔ)，但出現(xiàn)緊急漏洞還是手忙腳亂，仍然是疲于應(yīng)對(duì)不斷發(fā)現(xiàn)的漏洞，在接受監(jiān)管檢查的時(shí)候總是有漏洞被發(fā)現(xiàn)。

從外部來(lái)看，漏洞已經(jīng)成為當(dāng)前IT領(lǐng)域的熱門(mén)話題之一。首先，從攻防的不對(duì)等角度來(lái)說(shuō)，攻擊者對(duì)漏洞的利用早已形成了產(chǎn)業(yè)化，攻擊者利用漏洞的時(shí)間窗遠(yuǎn)遠(yuǎn)小于防御者完成漏洞修復(fù)的時(shí)間窗。其次，隨著信息技術(shù)的發(fā)展，大量應(yīng)用的推廣必然會(huì)帶來(lái)大量的漏洞爆發(fā)。

怎樣提高企業(yè)的漏洞管理水平成了安全管理人員需要去思考的問(wèn)題，而漏洞管理中漏洞修復(fù)工作是尤其重要的。

一、漏洞修復(fù)現(xiàn)狀

首先了解一下影響漏洞修復(fù)的幾個(gè)主要原因：

• 企業(yè)隨著業(yè)務(wù)的增長(zhǎng)，資產(chǎn)數(shù)量也在瘋狂的增長(zhǎng)，外部漏洞披露逐年增多，導(dǎo)致企業(yè)漏洞數(shù)量也隨之增多，漏洞修復(fù)速度遠(yuǎn)遠(yuǎn)達(dá)不到漏洞產(chǎn)生的速度，就會(huì)導(dǎo)致漏洞逐年積壓，形成企業(yè)漏洞管理頑疾。
• 企業(yè)內(nèi)部建立漏洞管理機(jī)制，但是漏洞管理很重要的一部分是流程管理環(huán)節(jié)，其中會(huì)涉及到企業(yè)內(nèi)部眾多部門(mén)協(xié)調(diào)工作，針對(duì)漏洞管理人員的職責(zé)不明確，缺乏領(lǐng)導(dǎo)人員監(jiān)督執(zhí)行。導(dǎo)致企業(yè)漏洞管理淪為紙上談兵。
• 企業(yè)內(nèi)部漏洞修復(fù)工作缺乏量化指標(biāo)，導(dǎo)致漏洞修復(fù)成果不清晰，沒(méi)有具體量化指標(biāo)來(lái)約束負(fù)責(zé)漏洞管理工作的人員，也沒(méi)有辦法來(lái)獎(jiǎng)勵(lì)負(fù)責(zé)漏洞管理工作的人員，導(dǎo)致相關(guān)人員工作積極性下降。
• 漏洞修復(fù)工作涉及資產(chǎn)范圍廣，某些漏洞修復(fù)工作對(duì)技術(shù)要求高，運(yùn)維人員修復(fù)難度大，需要更有效、更全面和更權(quán)威的漏洞解決方案來(lái)指導(dǎo)運(yùn)維人員進(jìn)行漏洞修復(fù)，依靠傳統(tǒng)的技術(shù)很難完全覆蓋所有的漏洞修復(fù)解決方案。

二、提高漏洞修復(fù)工作的方法

漏洞修復(fù)工作作為漏洞管理的核心，依靠傳統(tǒng)的漏洞掃描設(shè)備或解決方案已不能滿(mǎn)足當(dāng)下漏洞修復(fù)遇見(jiàn)的問(wèn)題，需要企業(yè)利用新的技術(shù)手段搭建適合自身漏洞管理現(xiàn)狀的漏洞管理平臺(tái)來(lái)實(shí)現(xiàn)漏洞管理工作，而在漏洞平臺(tái)搭建中對(duì)于漏洞修復(fù)方面的建設(shè)可以考慮以下幾個(gè)方向。

1. 漏洞修復(fù)優(yōu)先級(jí)

在漏洞修復(fù)工作中引入漏洞修復(fù)優(yōu)先級(jí)的概念，而漏洞修復(fù)優(yōu)先級(jí)的參考因子可以有資產(chǎn)重要性、漏洞POC、資產(chǎn)防御情況、漏洞熱度等，同時(shí)利用絕對(duì)條件的因數(shù)對(duì)漏洞進(jìn)行過(guò)濾，絕對(duì)條件即為符合這類(lèi)條件的漏洞如果按優(yōu)先級(jí)評(píng)分來(lái)說(shuō)只會(huì)有0或者100的兩個(gè)極端分值，對(duì)于運(yùn)維人員來(lái)說(shuō)可以根據(jù)分值很好的去判斷是否修復(fù)此類(lèi)漏洞，一類(lèi)是必須修復(fù)的情況：如面向互聯(lián)網(wǎng)的重要資產(chǎn)發(fā)現(xiàn)可利用高危漏洞;一類(lèi)是無(wú)法修復(fù)的情況：如內(nèi)部進(jìn)行物理隔離的核心業(yè)務(wù)系統(tǒng)。依據(jù)漏洞優(yōu)先級(jí)評(píng)分來(lái)進(jìn)行漏洞優(yōu)先修復(fù)工作時(shí)，還需要對(duì)最終的優(yōu)先級(jí)評(píng)分進(jìn)行人工的修正，保證得出的優(yōu)先級(jí)是具有參考價(jià)值的。漏洞修復(fù)優(yōu)先級(jí)的概念是為了解決企業(yè)在面對(duì)大量漏洞的情況下，如何做到更好的利用企業(yè)資源優(yōu)先處理緊急程度更高的漏洞。

2. 漏洞修復(fù)流程優(yōu)化

把漏洞修復(fù)流程的每個(gè)環(huán)節(jié)與響應(yīng)人員進(jìn)行綁定，不僅僅只限于不同運(yùn)維人員或安全人員，同時(shí)還要要求相應(yīng)的領(lǐng)導(dǎo)決策人員加入，提高漏洞修復(fù)響應(yīng)的效率，同時(shí)監(jiān)督漏洞修復(fù)流程的進(jìn)行。

漏洞修復(fù)流程必須嚴(yán)格明確：

(1) 漏洞發(fā)現(xiàn)階段由企業(yè)安全人員進(jìn)行，然后把發(fā)現(xiàn)的漏洞轉(zhuǎn)送至相應(yīng)資產(chǎn)運(yùn)維人員;

(2) 漏洞處理階段由運(yùn)維人員進(jìn)行，針對(duì)漏洞做出相應(yīng)操作;

• 接受風(fēng)險(xiǎn)是運(yùn)維人員根據(jù)實(shí)際情況進(jìn)行判斷，如業(yè)務(wù)影響情況、資產(chǎn)重要性等，運(yùn)維人員可以手工把漏洞狀態(tài)在待修復(fù)和接受風(fēng)險(xiǎn)之間進(jìn)行轉(zhuǎn)換。
• 單次忽略即為本次掃描忽略這個(gè)漏洞，但下次掃描還會(huì)掃出此漏洞，永久忽略即為以后永遠(yuǎn)忽略這個(gè)漏洞，除非人工進(jìn)行漏洞轉(zhuǎn)態(tài)轉(zhuǎn)移到發(fā)現(xiàn)里面。

(3) 漏洞驗(yàn)證階段為安全人員和運(yùn)維人員相互配合;

• 當(dāng)運(yùn)維人員把待修復(fù)漏洞轉(zhuǎn)換到已修復(fù)轉(zhuǎn)態(tài)，安全人員必須要對(duì)漏洞修復(fù)情況進(jìn)行復(fù)查，如果再次掃描發(fā)現(xiàn)漏洞依然存在，則歸為修復(fù)失敗，對(duì)于修復(fù)失敗的漏洞要重新轉(zhuǎn)換到漏洞發(fā)現(xiàn)狀態(tài)。
• 如果再次掃描漏洞不存在，則歸為已驗(yàn)證狀態(tài)，同時(shí)如果后期多次掃描過(guò)程中因?yàn)橘Y產(chǎn)本身變化導(dǎo)致漏洞復(fù)現(xiàn)，漏洞狀態(tài)轉(zhuǎn)換為再次發(fā)現(xiàn)，對(duì)于再次發(fā)現(xiàn)的漏洞要及時(shí)轉(zhuǎn)至待修復(fù)狀態(tài)。

(4) 在漏洞發(fā)現(xiàn)到漏洞修復(fù)的流程轉(zhuǎn)換過(guò)程中，必須有領(lǐng)導(dǎo)決策人員知曉，以達(dá)到監(jiān)督漏洞管理流程正常有效運(yùn)轉(zhuǎn)的目的;

(5) 同時(shí)定期輸出漏洞修復(fù)情況報(bào)告給到領(lǐng)導(dǎo)決策人員，使其了解企業(yè)漏洞管理現(xiàn)狀。

(6) 針對(duì)漏洞修復(fù)的各個(gè)轉(zhuǎn)態(tài)轉(zhuǎn)換進(jìn)行追蹤審計(jì)，記錄修復(fù)時(shí)間、處理人員和處理反饋等。

3. 漏洞修復(fù)量化

在漏洞修復(fù)工作中把企業(yè)內(nèi)部各部門(mén)或子公司做為一個(gè)漏洞修復(fù)統(tǒng)計(jì)對(duì)象，通過(guò)定期對(duì)修復(fù)成果進(jìn)行統(tǒng)計(jì)，如修復(fù)漏洞數(shù)、修復(fù)漏洞耗時(shí)、修復(fù)漏洞成功率等，通過(guò)漏洞管理平臺(tái)做統(tǒng)一展示、企業(yè)內(nèi)部定期通報(bào)甚至或者引入績(jī)效體系，利用漏洞修復(fù)量化的這樣理念來(lái)提高漏洞修復(fù)人員的積極性，同時(shí)利用漏洞修復(fù)量化的方式使得企業(yè)管理者能清楚的了解當(dāng)前漏洞管理狀況，為漏洞管理的決策工作提供更好的依據(jù)。

4. 漏洞修復(fù)知識(shí)庫(kù)

漏洞修復(fù)知識(shí)庫(kù)的建立，一方面是為運(yùn)維人員提供一個(gè)全面、權(quán)威和有效的漏洞修復(fù)指導(dǎo)方案庫(kù);另一方面也是保證漏洞修復(fù)工作能更有效進(jìn)行，減少漏洞修復(fù)的失敗率。漏洞知識(shí)庫(kù)建立可以考慮三個(gè)方面入手，一是參考漏洞掃描設(shè)備的標(biāo)準(zhǔn)解決方案作為基礎(chǔ);二是利用多方威脅情報(bào)數(shù)據(jù)，錄入更多的解決方案作為參考;三是人工定期整理已驗(yàn)證過(guò)的漏洞修復(fù)方案作為權(quán)威標(biāo)準(zhǔn)方案。

【本文是51CTO專(zhuān)欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過(guò)51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文