調(diào)研機(jī)構(gòu)最近發(fā)布的一份2019年度網(wǎng)絡(luò)安全違規(guī)調(diào)查報(bào)告表明，網(wǎng)絡(luò)安全已日益成為企業(yè)的優(yōu)先考慮事項(xiàng)。在2019年進(jìn)行的調(diào)查中，78%的受訪者(2018年為74%)表示將其列為高度優(yōu)先事項(xiàng)。32%的受訪者表示發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞或遭遇攻擊。這類統(tǒng)計(jì)數(shù)據(jù)令人關(guān)注，但這些企業(yè)還需要關(guān)注其他一些事項(xiàng)，因?yàn)檫@超出了其安全預(yù)算。隨著漏洞的增加，企業(yè)在安全方面的投資不僅僅在于阻止這些網(wǎng)絡(luò)攻擊，安全防護(hù)也應(yīng)該是關(guān)于如何更快速、更有效地查找和修復(fù)企業(yè)基礎(chǔ)設(shè)施中的已知軟件漏洞，這就是所謂的漏洞管理。

[[328551]]

調(diào)查發(fā)現(xiàn)，軟件漏洞數(shù)量正在增加，僅在2020年，漏洞數(shù)據(jù)庫(NVD)就發(fā)現(xiàn)了400多個(gè)新漏洞。對(duì)于大多數(shù)企業(yè)而言，快速修復(fù)這些漏洞的能力仍然是一個(gè)挑戰(zhàn)。根據(jù)調(diào)研機(jī)構(gòu)發(fā)布的《2019年DevOps狀態(tài)報(bào)告》(SODOR)，只有32%的受訪者表示，能夠在一小時(shí)至不到一天的時(shí)間內(nèi)修復(fù)嚴(yán)重的安全漏洞;只有7%的受訪者表示，能夠在不到一小時(shí)的時(shí)間內(nèi)對(duì)其進(jìn)行修復(fù)。這是一個(gè)大問題，因?yàn)殚L時(shí)間不修復(fù)關(guān)鍵漏洞將使黑客有時(shí)間獲得更多具有價(jià)值的信息。

對(duì)于管理人員和工作人員來說，對(duì)已知漏洞的安全性和緩解風(fēng)險(xiǎn)的關(guān)注應(yīng)該成為更大的優(yōu)先事項(xiàng)。問題在于，漏洞管理工作流程(從安全團(tuán)隊(duì)運(yùn)行的漏洞報(bào)告到IT運(yùn)營商完成的漏洞修復(fù))是分散且人工實(shí)施的，這使得漏洞修復(fù)速度很慢，并使IT基礎(chǔ)設(shè)施暴露于外部攻擊的時(shí)間過長。仍然有很多企業(yè)允許安全團(tuán)隊(duì)將敏感數(shù)據(jù)發(fā)送給IT團(tuán)隊(duì)，以修復(fù)他們在系統(tǒng)中發(fā)現(xiàn)的所有漏洞。根據(jù)調(diào)研機(jī)構(gòu)波洛蒙公司的研究，IT運(yùn)營部門平均每周花費(fèi)320個(gè)小時(shí)來進(jìn)行一次漏洞修復(fù)。

隨著人們進(jìn)入一個(gè)以軟件為中心的世界，網(wǎng)絡(luò)攻擊數(shù)量將會(huì)繼續(xù)增長，并且企業(yè)生產(chǎn)和使用的軟件漏洞數(shù)量將會(huì)增加。如果沒有針對(duì)企業(yè)如何主動(dòng)、大規(guī)模地修復(fù)已知漏洞的計(jì)劃，那么企業(yè)聲譽(yù)和財(cái)務(wù)受損的機(jī)會(huì)就會(huì)增加。

那么，企業(yè)如何才能增強(qiáng)其安全性配置文件，使其免受漏洞攻擊并應(yīng)對(duì)日益增長的威脅?

運(yùn)營環(huán)境的標(biāo)準(zhǔn)化和自動(dòng)化

隨著技術(shù)的發(fā)展，IT領(lǐng)域變得越來越復(fù)雜，導(dǎo)致ITOpps的工作量要比人工完成的還要多，尤其是在技術(shù)人才短缺的情況下。解決此問題的一種方法是采用DevOps實(shí)踐，以盡可能少的技術(shù)實(shí)現(xiàn)標(biāo)準(zhǔn)化，這也對(duì)提高安全性有好處。使用更少的操作系統(tǒng)，企業(yè)再也不需要查看影響選擇刪除的操作系統(tǒng)的漏洞，而且可以處理的漏洞數(shù)量也更少。

使用標(biāo)準(zhǔn)化技術(shù)，使企業(yè)的環(huán)境自動(dòng)化是管理其不斷增長的資產(chǎn)的有效方法，并允許在發(fā)現(xiàn)漏洞時(shí)更快地進(jìn)行補(bǔ)救。DevOps的另一項(xiàng)原則(在可能的情況下進(jìn)行自動(dòng)化)有利于提高安全性，因?yàn)樽詣?dòng)化執(zhí)行人工實(shí)施的安全性流程(例如補(bǔ)丁和更新)通常是重復(fù)和耗時(shí)的，并且可能會(huì)被遺忘，從而消除了人為錯(cuò)誤的風(fēng)險(xiǎn)。一旦發(fā)現(xiàn)漏洞，解決問題的速度便是最重要的，而自動(dòng)化則是快速和大規(guī)模反應(yīng)的一種方法。在日常工作中，基本的網(wǎng)絡(luò)安全檢查非常適合于機(jī)器操作，使安全專家有時(shí)間尋找威脅和漏洞，而這正是人類擅長的事情，可以發(fā)現(xiàn)看起來很奇怪或不合適的事物并找出存在的漏洞。

遵循基于風(fēng)險(xiǎn)的方法來確定首先要修復(fù)的內(nèi)容

信息安全和信息技術(shù)專業(yè)人員以嚴(yán)重程度為基礎(chǔ)處理漏洞的日子已經(jīng)一去不復(fù)返了?，F(xiàn)代專業(yè)人士現(xiàn)在面臨著一項(xiàng)艱巨的任務(wù)，即決定不進(jìn)行補(bǔ)救的內(nèi)容。實(shí)際上，只有那些可能對(duì)企業(yè)造成實(shí)質(zhì)性損害的漏洞才能得到解決。因此，現(xiàn)代專業(yè)人員必須采用基于風(fēng)險(xiǎn)的優(yōu)先權(quán)。

基于風(fēng)險(xiǎn)的方法考慮了漏洞的嚴(yán)重性以及服務(wù)器或計(jì)算機(jī)的場景和嚴(yán)重性?？赡軙?huì)問這個(gè)漏洞容易被利用嗎?這個(gè)漏洞是否已廣為人知?是否有廣泛可用的漏洞攻擊工具包?暗網(wǎng)上是否有關(guān)于該漏洞的討論?該漏洞是否會(huì)影響業(yè)務(wù)基礎(chǔ)設(shè)施的關(guān)鍵部分?如果對(duì)這些問題的答案是肯定的，那么企業(yè)現(xiàn)在就應(yīng)該進(jìn)行補(bǔ)救。

通過使用自動(dòng)化和一致的信息作為安全性和IT之間的通用語言，企業(yè)可以更好地了解其系統(tǒng)中最容易受到攻擊的部分，從而可以相應(yīng)地確定優(yōu)先級(jí)。遵循基于風(fēng)險(xiǎn)的方法，可以糾正可能對(duì)企業(yè)造成很大影響和傷害的漏洞，例如任何種類的財(cái)務(wù)軟件、健康記錄甚至客戶數(shù)據(jù)庫。

縮小差距

如今，軟件為IT世界提供了強(qiáng)大的動(dòng)力，這意味著許多使用軟件的企業(yè)都面臨潛在的安全漏洞。此外，通常存在的軟件漏洞是由人為錯(cuò)誤引起的，盡管它們可能不是惡意的，但如果被利用，則會(huì)嚴(yán)重?fù)p害企業(yè)的運(yùn)營和發(fā)展。企業(yè)需要確保早日消除軟件漏洞并盡快解決問題，這對(duì)其運(yùn)營非常有利。當(dāng)企業(yè)盡早減輕安全風(fēng)險(xiǎn)時(shí)，IT Ops可以大規(guī)模地減少漏洞數(shù)量。

但是，很多公司仍在嘗試通過人工修復(fù)漏洞，鑒于可能存在一些隱秘的漏洞，這種做法幾乎是不可能的，因此很容易受到網(wǎng)絡(luò)攻擊。一個(gè)良好的解決方案是自動(dòng)化漏洞修復(fù)，從而消除漏洞管理工作流程中的重復(fù)性和容易出錯(cuò)的步驟，例如，消除在信息安全和IT Ops之間進(jìn)行人工數(shù)據(jù)移交的潛在錯(cuò)誤。

如果企業(yè)基礎(chǔ)設(shè)施中重要的部分存在大量漏洞，那么需要采用更有效的網(wǎng)絡(luò)安全防御措施。現(xiàn)在建立強(qiáng)大的漏洞管理實(shí)踐，可以幫助企業(yè)避免可能導(dǎo)致慘重?fù)p失的錯(cuò)誤。