首席信息安全官要向企業(yè)員工宣傳掌握安全基礎的必要性，他們在努力建立一個穩(wěn)健的漏洞管理計劃。其計劃可能會因需要關注的漏洞數量、解決漏洞所需的速度或有效所需的資源而受到阻礙。

例如，考慮一下安全團隊在解決Log4j漏洞方面所面臨的挑戰(zhàn)。由經過認證的網絡安全專業(yè)人員組成的非營利性協(xié)會(ISC)2最近的一項調查發(fā)現，52%的受訪者花費數周或一個月以上的時間來修復Log4j漏洞。

誠然，Log4j漏洞的影響范圍很大，但安全專家表示，這一數字以及其他研究和他們自己的調查表明，許多企業(yè)仍在完善他們用來識別、確定優(yōu)先級和修復軟件中的安全問題的流程。

以下一些最佳實踐有助于構建高效的漏洞管理計劃：

1.了解自己的環(huán)境

安全專家強調，首席信息安全官需要準確了解他們需要保護的技術環(huán)境;這有助于他們了解他們的技術堆棧中是否存在已知和新發(fā)現的漏洞。

然而，這說起來容易做起來難。網絡安全培訓機構SANS Institute公司的認證講師、安全技術商Scythe公司的首席技術官以及C2 Matrix項目的共同創(chuàng)建者Jorge Orchiles說，“每個人都說他們有安全措施，但通常需要更深入一點。他們不知道幕后發(fā)生了什么。這仍然是最大的挑戰(zhàn)?！?/p>

他說，已經看到成熟的安全操作占其環(huán)境的主要組成部分，但卻忽略了較小的元素和代碼本身，這種疏忽可能留下了未修補的關鍵漏洞。

Orchiles建議網絡安全領導者確保他們擁有技術環(huán)境的詳細記錄，其中包括編程庫等所有組件(事實證明，這些組件對于修補Log4j漏洞的企業(yè)至關重要)。此外，每當推出一個新系統(tǒng)時，首席信息安全官帶來的團隊必須不斷地更新該記錄。

2.制定一個真正的計劃(不僅僅是臨時工作)

掃描漏洞并修復出現的任何漏洞似乎足夠了，但安全專家表示，臨時方法既低效又不充分。例如，安全團隊花費寶貴的時間修補對其企業(yè)構成有限威脅的漏洞，而不是優(yōu)先考慮高風險問題?；蛘咚麄兠τ谕瓿善渌椖坎⑼七t漏洞管理工作，直到他們有空閑的時間。

TCE Strategy公司首席執(zhí)行官Bryce Austin表示，為了防止這種情況發(fā)生，首席信息安全官應該采用程序化方法進行漏洞管理，該方法結合了企業(yè)對風險的容忍度以及確定優(yōu)先級、補救和緩解已識別漏洞的流程。

該計劃還應確定企業(yè)執(zhí)行漏洞掃描的頻率，并應包括與供應商補丁發(fā)布日期相關的時間表。

咨詢機構Protiviti公司的技術風險、IT審計和網絡安全服務董事總經理兼ISACA紐約大都會分會主席Farid Abdelkader補充說，一個良好的漏洞管理計劃應該有明確的流程和政策、特許團隊和治理。

Abdelkader還建議首席信息安全官使用可以顯示其執(zhí)行情況的關鍵績效指標，來確定良好的外觀，確定需要改進的領域，然后指示隨著時間的推移取得的進展。

《足夠安全嗎?面向企業(yè)主和高管的20個網絡安全問題》一文的作者Austin表示，擁有成熟漏洞管理計劃的企業(yè)有一個向企業(yè)高管報告其活動的流程，以便他們了解該計劃的重要性及其跟蹤記錄。他指出，這有助于確保進行有效的監(jiān)督，并將漏洞管理與企業(yè)內部的任何其他業(yè)務風險一樣對待。

3.根據企業(yè)自身的風險進行定制

企業(yè)需要不斷發(fā)現新的漏洞，再加上現有已知漏洞，幾乎不可能修復這些問題。Abdelkader說，企業(yè)找到一種方法來查明最重要的漏洞并確定修復工作的優(yōu)先順序是至關重要的。

Abdelkader說，“企業(yè)了解事件的嚴重性。詢問如果出現漏洞怎么辦?這對數據有何影響?或者如果系統(tǒng)出現故障?這會對企業(yè)的業(yè)務、客戶或聲譽產生什么樣的影響?企業(yè)需要了解這些資產的真正風險以及這些事情發(fā)生的實際風險?！?/p>

這項工作可以由漏洞掃描、供應商和其他安全渠道提供的分類(高、中、低)指導，但該過程應考慮企業(yè)對風險的容忍度、技術環(huán)境、行業(yè)等。

他解釋說，“它必須與企業(yè)、關鍵資產和資源、數據、計算機或系統(tǒng)對關鍵威脅的暴露程度有關。”

他指出，作為一個孤立的系統(tǒng)，所面臨的風險與當前的系統(tǒng)不同;因此，每個人都應該獲得與自身風險相對應的不同級別的補救優(yōu)先級。

不過他補充說，這種基于企業(yè)自身風險狀況的定制和優(yōu)先排序并不總是會發(fā)生。他說，“我看到很多漏洞管理項目都是從一個列表開始的，該列表列出了漏洞掃描發(fā)現的內容，以及對企業(yè)實際存在的關鍵風險，以及真正關心的問題?！?/p>

4.重新審視風險和優(yōu)先事項

提高企業(yè)的風險承受能力，并建立工作優(yōu)先順序的流程，對于強大的脆弱性管理計劃都至關重要。但這些任務不能被視為一項已完成的任務。

Austin補充說，他們應該至少每年都重新訪問一次，也可以在企業(yè)內部或IT環(huán)境發(fā)生重大變化時訪問。

5.使用框架和系統(tǒng)

MITRE Engenuity技術基金會威脅情報防御研究與開發(fā)中心的聯合創(chuàng)始人兼代理主任Jon Baker表示，企業(yè)無需自己獨立開發(fā)技術來幫助完成漏洞管理任務，因為很多企業(yè)已經開發(fā)了框架和其他系統(tǒng)來幫助首席信息安全官進行管理。

Bake說，“這些框架和系統(tǒng)可以幫助企業(yè)查看安全漏洞，并了解網絡攻擊者如何使用它們的方法，因此可以使用框架和系統(tǒng)來確定漏洞和其響應的優(yōu)先級?！?/p>

MITRE Engenuity技術基金會擁有其通用漏洞和暴露(CVE)系統(tǒng)，該系統(tǒng)自1999年以來一直提供有關公開已知漏洞和暴露的信息(正如其名稱所述)，并具有與這些漏洞相關聯的特定代碼庫版本。還有NIST特別出版物800-30，企業(yè)可以使用它來進行風險評估。

此外，還有通用漏洞評分系統(tǒng)(CVSS)，這是一個開放框架，企業(yè)可以使用它來評估安全漏洞的嚴重性，以便可以根據威脅級別對它們進行優(yōu)先級排序。

MITRE Engenuity技術基金會還擁有其ATT&CK框架(利用CVE)，企業(yè)可以使用該框架來確定需要他們注意的漏洞的優(yōu)先級，作為全面的威脅知情防御策略的一部分。

6.考慮直接供應商、第三方引入的漏洞

Log4j漏洞之所以如此成問題，部分原因是Log4J工具如此普遍，存在于企業(yè)IT團隊和軟件供應商開發(fā)的眾多應用程序中。

Baker說，Log4j漏洞于2021年底浮出水面，這也表明，首席信息安全官需要了解、評估、優(yōu)先考慮和緩解供應商產品中存在的或由第三方引入的漏洞。

他承認，企業(yè)安全團隊在這方面遇到了挑戰(zhàn)，因為企業(yè)安全部門往往不知道供應商解決方案中存在哪些漏洞，甚至可能無法在這些系統(tǒng)上運行漏洞掃描。

他說，“對于我們所依賴的系統(tǒng)所利用的代碼和工具，我們確實缺乏透明度。”他指出，軟件材料清單(SBOM)是軟件中的組件列表，在某些情況下可以提供一些可見性。

Baker建議，首席信息安全官審查他們與供應商就在管理其產品中的漏洞方面的角色達成的協(xié)議，然后在必要時尋求插入合同語言，以限制錯誤被忽視或未修復的可能性。

他說，“這是企業(yè)的漏洞管理計劃的一部分：了解提供商和第三方如何跟蹤、確定優(yōu)先級和修補漏洞?！?/p>

7.建立制衡機制

另一個最佳實踐是：不要將漏洞管理分配給IT團隊。安全專家表示，首席信息安全官應該有一個專門的個人或團隊，負責識別漏洞、確定修復的優(yōu)先級，以及監(jiān)督補救和緩解措施的執(zhí)行。

Austin說，“他們需要有人對進行實際修補的團隊保持健康的關系，因為對于那些通過進行更多修補而使工作變得更加困難的基礎設施人員來說，對漏洞掃描進行嚴格的檢查變得更難。任何自我監(jiān)督職能都非常容易受到冷漠或腐敗的影響。因此需要制衡?！?/p>

很多人對此表示認同，并指出首席信息安全官可以選擇托管安全服務提供商(MSSP)來運行其漏洞管理程序，然后與內部基礎設施、工程和/或devops團隊合作執(zhí)行補丁，并處理任何所需的停機時間和所需的測試。

8.投資工具和團隊

安全專家強調，有效的漏洞管理與安全領域的其他所有工作一樣，需要合適的人員、流程和技術。

他們指出，許多企業(yè)都有所有這些部分，但并不總是讓這三個部分有效地協(xié)同工作。Baker表示，安全團隊通常擁有掃描工具，但可能沒有引入有效處理工作負載所需的自動化，

此外，Orchiles表示，首席信息安全官和他們所在的公司必須承諾提供使這些團隊成功所需的資源。

他指出，投資工具和團隊可能看起來很直觀，但并不總是遵循這樣的建議。例如，看到首席信息安全官投資于一種新工具，但沒有投資運行該技術所需的員工、最大限度地利用技術所需的培訓以及所需的變更管理。

他補充說，“如果沒有這些，工具將無法工作?！?/p>