多起數(shù)據(jù)泄露事件都可以追溯到未修補(bǔ)的漏洞，其中包括2017年信用報(bào)告機(jī)構(gòu)Equifax公司的大規(guī)模數(shù)據(jù)泄露事件。Tripwire公司在2019年的一項(xiàng)研究發(fā)現(xiàn)，27%的違規(guī)事件是由未修補(bǔ)的漏洞引起的，而Ponemon公司在2018年開(kāi)展的一項(xiàng)研究表明這一數(shù)字高達(dá)60%。

這不會(huì)讓安全領(lǐng)域的任何人感到驚訝：在過(guò)去幾年中，發(fā)現(xiàn)的漏洞數(shù)量每年都在增加。

與此同時(shí)，安全團(tuán)隊(duì)也不堪重負(fù)，因?yàn)樗麄円恢痹诿τ趯?shí)現(xiàn)安全的遠(yuǎn)程工作和解決其他與新冠疫情相關(guān)的問(wèn)題，同時(shí)還要應(yīng)對(duì)人員短缺問(wèn)題。

因此，改進(jìn)漏洞管理計(jì)劃并不總是首要任務(wù)。然而，一些資深安全負(fù)責(zé)人表示，他們看到了可以而且應(yīng)該解決的常見(jiàn)錯(cuò)誤和失誤，以加強(qiáng)這些計(jì)劃。以下是他們指出的首席信息安全官仍然經(jīng)常會(huì)犯的10個(gè)錯(cuò)誤：

1.未能獲得企業(yè)高管支持

良好的漏洞管理計(jì)劃所需的工作遠(yuǎn)遠(yuǎn)超出了安全團(tuán)隊(duì)的范圍。風(fēng)險(xiǎn)決策需要企業(yè)管理層的投入，修補(bǔ)漏洞需要IT專(zhuān)業(yè)知識(shí)，計(jì)劃的更新停機(jī)時(shí)間會(huì)影響多個(gè)業(yè)務(wù)功能。

因此，首席信息安全官需要企業(yè)中多個(gè)參與者的支持才能很好地完成這項(xiàng)任務(wù)，托管服務(wù)提供商Thrive公司首席技術(shù)官M(fèi)ichael Gray表示，當(dāng)首席信息安全官得到企業(yè)高層領(lǐng)導(dǎo)的支持時(shí)，他們更有可能獲得成功。

另一方面，缺乏企業(yè)高管層對(duì)其漏洞管理工作的支持的首席信息安全官可能會(huì)因?qū)山邮艿娘L(fēng)險(xiǎn)缺乏明確性以及IT和業(yè)務(wù)部門(mén)對(duì)安排修補(bǔ)和系統(tǒng)停機(jī)時(shí)間的反對(duì)而受阻。

但也有一些好消息，Gray和其他人表示，隨著網(wǎng)絡(luò)安全已成為企業(yè)董事會(huì)的關(guān)注點(diǎn)，首席信息安全官越來(lái)越多地發(fā)現(xiàn)他們需要高管的支持。研究機(jī)構(gòu)Gartner公司的數(shù)據(jù)證實(shí)了這一趨勢(shì)，該公司在2021年的調(diào)查發(fā)現(xiàn)，88%的企業(yè)董事會(huì)現(xiàn)在將網(wǎng)絡(luò)安全視為一種業(yè)務(wù)風(fēng)險(xiǎn)。

2.沒(méi)有培養(yǎng)共同的責(zé)任感

Under Armour公司首席信息安全官Alex Attumalil說(shuō)，“首席信息安全官不應(yīng)全部承擔(dān)漏洞管理的責(zé)任或風(fēng)險(xiǎn)?！?/p>

首席信息安全官并不擁有他們支持的系統(tǒng)或業(yè)務(wù)功能，也無(wú)權(quán)單獨(dú)確定企業(yè)是否愿意接受任何特定風(fēng)險(xiǎn)。

他說(shuō)，“我們不能完全代表企業(yè)接受風(fēng)險(xiǎn)。這需要與其他企業(yè)領(lǐng)導(dǎo)者溝通風(fēng)險(xiǎn)，根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)制定漏洞管理框架，并讓他們成為解決方案的一部分。他們需要知道自己應(yīng)該對(duì)系統(tǒng)引入的漏洞負(fù)責(zé)?！?/p>

Attumalil表示，這種方法讓首席信息安全官以外的企業(yè)高管參與其中，這一舉措在漏洞管理工作(例如安排系統(tǒng)停機(jī)時(shí)間進(jìn)行修補(bǔ))方面建立了更多支持和協(xié)作。

3.使用通用風(fēng)險(xiǎn)優(yōu)先級(jí)

Pulse公司最近為安全供應(yīng)商Vulcan Cyber公司進(jìn)行的一項(xiàng)研究表明，在200多名做出響應(yīng)的企業(yè)IT和安全主管中，絕大多數(shù)都沒(méi)有根據(jù)其企業(yè)自身獨(dú)特的風(fēng)險(xiǎn)狀況對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序。更具體地說(shuō)，該研究表明，86%的受訪(fǎng)者表示將依賴(lài)第三方漏洞嚴(yán)重性數(shù)據(jù)來(lái)確定漏洞的優(yōu)先級(jí)，70%的人還使用第三方威脅情報(bào)。

資深安全領(lǐng)導(dǎo)人警告不要采用這種方法，稱(chēng)這可能會(huì)讓首席信息安全官及其團(tuán)隊(duì)將有限的資源集中在錯(cuò)誤的威脅上。

KLC咨詢(xún)公司為美國(guó)國(guó)防承包商提供網(wǎng)絡(luò)安全建議和vCISO服務(wù)，其總裁兼首席信息安全官Kyle Lai建議采用不同的方法。他表示，首席信息安全官及其團(tuán)隊(duì)必須了解企業(yè)自身的技術(shù)環(huán)境，并擁有最新的資產(chǎn)清單，他們必須了解企業(yè)的風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受能力，以便他們能夠識(shí)別對(duì)自己企業(yè)的最大威脅，并優(yōu)先消除這些威脅。

他說(shuō)，“他們應(yīng)該了解特定威脅可能產(chǎn)生的影響有多大，應(yīng)該知道哪些威脅更嚴(yán)重。并且根據(jù)對(duì)自己所在企業(yè)的影響來(lái)確定優(yōu)先順序?！?/p>

4.忽略安全培訓(xùn)

Lexmark International公司首席信息安全官Bryan Willett認(rèn)識(shí)到，修補(bǔ)Linux系統(tǒng)所需的技能與修補(bǔ)Windows所需的技能不同，而這些技能也不同于在其漏洞管理程序中執(zhí)行其他任務(wù)所需的技能。

此外，他的安全工作人員對(duì)漏洞管理所需的知識(shí)與IT工作人員在實(shí)際系統(tǒng)中進(jìn)行修補(bǔ)所需的知識(shí)不同。

他說(shuō)，“所以我希望這些團(tuán)隊(duì)接受必要的培訓(xùn)，以承擔(dān)起他們的責(zé)任?！?/p>

但安全領(lǐng)導(dǎo)者表示，并非所有企業(yè)都致力于提供員工所需的持續(xù)安全教育，以提供世界一流的安全性，更具體地說(shuō)是強(qiáng)大的漏洞管理功能。專(zhuān)家表示，企業(yè)有時(shí)會(huì)低估漏洞管理任務(wù)所需的專(zhuān)業(yè)化程度，或者他們忽略了對(duì)員工進(jìn)行自身企業(yè)內(nèi)使用的特定系統(tǒng)或工具進(jìn)行培訓(xùn)的必要性。

Willett補(bǔ)充說(shuō)，“每個(gè)人都需要記住的是，員工想要做正確的事情，但我們必須對(duì)他們進(jìn)行投資，讓他們能夠做正確的事情?！?/p>

5.未能跟蹤代碼

Linux基金會(huì)的研究表明，越來(lái)越多的企業(yè)正在使用軟件材料清單(SBOM)來(lái)更好地理解他們系統(tǒng)中的所有代碼。更具體地說(shuō)，該報(bào)告表明，47%的企業(yè)正在生產(chǎn)或使用軟件材料清單(SBOM)，78%的企業(yè)預(yù)計(jì)將在2022年生產(chǎn)或使用軟件材料清單(SBOM)(高于2021年的66%)。

盡管這些數(shù)字顯示軟件材料清單(SBOM)的使用有所增加，但它們?nèi)匀槐砻髟S多企業(yè)可能無(wú)法了解其IT環(huán)境中的所有代碼。Lai表示，缺乏可見(jiàn)性限制了他們了解自己是否存在需要解決的漏洞的能力。

他說(shuō)，“你必須知道有什么代碼和什么開(kāi)源組件，所以當(dāng)像Log4J這樣的漏洞出現(xiàn)時(shí)，就知道它存在的所有地方?！?/p>

6.推遲升級(jí)

專(zhuān)業(yè)服務(wù)商普華永道公司網(wǎng)絡(luò)與隱私創(chuàng)新研究所負(fù)責(zé)人Joe Nocera表示，盡管漏洞管理是一項(xiàng)永無(wú)止境的任務(wù)，但可以通過(guò)解決技術(shù)債務(wù)將其納入更有效的計(jì)劃中。

正如Nocera解釋的那樣：“越能淘汰舊版本或在標(biāo)準(zhǔn)堆棧上整合，就越不需要管理漏洞。這就是我認(rèn)為簡(jiǎn)化和整合是可以獲得的最佳力量倍增器的原因。”

Nocera承認(rèn)，淘汰遺留系統(tǒng)和解決技術(shù)債務(wù)當(dāng)然不會(huì)消除漏洞。但是擺脫遺留系統(tǒng)確實(shí)會(huì)消除一些工作，它可以讓企業(yè)擺脫不再能夠打補(bǔ)丁的系統(tǒng)，從而降低風(fēng)險(xiǎn)。

他說(shuō)，通過(guò)解決這些問(wèn)題，安全團(tuán)隊(duì)及其IT同行可以將重點(diǎn)轉(zhuǎn)移到解決剩余的優(yōu)先事項(xiàng)上，從而使該計(jì)劃更加有效和有影響力。

盡管這種方法有諸多好處，但許多企業(yè)并沒(méi)有將其作為優(yōu)先事項(xiàng)：遠(yuǎn)程監(jiān)控和管理云平臺(tái)制造商Action1公司發(fā)布的2022年端點(diǎn)管理和安全趨勢(shì)報(bào)告發(fā)現(xiàn)，只有34%的受訪(fǎng)者計(jì)劃專(zhuān)注于消除他們已采用云計(jì)算替代品取代的風(fēng)險(xiǎn)遺留軟件。

7.忽略有關(guān)新興威脅的新聞

關(guān)于新漏洞或新出現(xiàn)威脅的最初警告通常來(lái)自缺乏大量細(xì)節(jié)的簡(jiǎn)短公告。盡管這些早期報(bào)告附帶的信息有限，但安全團(tuán)隊(duì)不應(yīng)該忽視它們的重要性。Lai表示，事實(shí)上，跟蹤來(lái)自各種安全來(lái)源的新聞和頭條以了解即將發(fā)生的事情至關(guān)重要。

他說(shuō)，“你想關(guān)注即將發(fā)生的事情。他們可能不會(huì)提供任何細(xì)節(jié)，但這種類(lèi)型的情報(bào)可以幫助企業(yè)更好地做好準(zhǔn)備，可以開(kāi)始工作或做好計(jì)劃。”

8.應(yīng)對(duì)每個(gè)新的威脅

另一方面，F(xiàn)orrester Research公司高級(jí)分析師Erik Nost警告首席信息安全官，不要在沒(méi)有首先評(píng)估突發(fā)新聞是否會(huì)影響到他們自己的企業(yè)，以及影響到多大程度的情況下對(duì)突發(fā)新聞做出反應(yīng)。

他說(shuō)，“許多首席信息安全官仍在學(xué)習(xí)如何處理零日漏洞以及成為新聞?lì)^條的漏洞，這些漏洞的出現(xiàn)頻率越來(lái)越高。梳理一些聳人聽(tīng)聞的新聞，以及哪些漏洞對(duì)他們的企業(yè)構(gòu)成實(shí)際威脅是一項(xiàng)挑戰(zhàn)，但要求團(tuán)隊(duì)修復(fù)他們收件箱或首席執(zhí)行官在新聞?lì)^條中看到的所有內(nèi)容并不是正確的方法。”

Nost指出，康奈爾大學(xué)最近的一項(xiàng)分析表明，高級(jí)持續(xù)性威脅(APT)比零日漏洞更有可能利用已知漏洞。因此，Nost說(shuō)，“首席信息安全官還應(yīng)該考慮威脅行為者，并考慮高級(jí)持續(xù)性威脅(APT)是否可能針對(duì)他們的企業(yè)進(jìn)行攻擊。”

他說(shuō)，安全團(tuán)隊(duì)?wèi)?yīng)該將主動(dòng)攻擊視為更好的優(yōu)先考慮因素，而不是媒體談?wù)摰膬?nèi)容。

Nost補(bǔ)充說(shuō)，“團(tuán)隊(duì)的時(shí)間緊迫。如果他們?cè)噲D修補(bǔ)出現(xiàn)在Twitter上的每個(gè)漏洞，那么他們就沒(méi)有根據(jù)他們可接受的風(fēng)險(xiǎn)偏好積極評(píng)估特定于他們企業(yè)的風(fēng)險(xiǎn)，并修復(fù)作為最大威脅的漏洞。如果存在成為新聞?lì)^條的零日漏洞或漏洞，可能仍需要采取行動(dòng)，因此其團(tuán)隊(duì)?wèi)?yīng)該制定有關(guān)如何評(píng)估威脅的程序。只需記住遵守既定的行動(dòng)手冊(cè)、風(fēng)險(xiǎn)偏好和威脅分析程序。”

9.依賴(lài)過(guò)時(shí)的信息

Gartner公司的調(diào)查顯示，大多數(shù)董事會(huì)成員現(xiàn)在將網(wǎng)絡(luò)安全視為一種風(fēng)險(xiǎn)，而且還發(fā)現(xiàn)大多數(shù)(57%)董事會(huì)成員在2021～2022年期間增加或預(yù)計(jì)增加風(fēng)險(xiǎn)偏好。與此同時(shí)，每年新發(fā)現(xiàn)的漏洞數(shù)量繼續(xù)增長(zhǎng)。傳統(tǒng)企業(yè)的IT環(huán)境也在不斷發(fā)展。

專(zhuān)家表示，這些要點(diǎn)表明，首席信息安全官需要制定流程，重新審視和審查其計(jì)算方法，以確定漏洞緩解和補(bǔ)救的優(yōu)先級(jí)。

Gray說(shuō)，“很多時(shí)候，企業(yè)并不擅長(zhǎng)管理漏洞的生命周期，而漏洞數(shù)量一直在增長(zhǎng)，并且不斷變化，這是需要不斷關(guān)注的事情?！?/p>

10.沒(méi)有將安全嵌入到開(kāi)發(fā)過(guò)程中

Nocera表示，將安全和安全設(shè)計(jì)原則嵌入到開(kāi)發(fā)過(guò)程中的企業(yè)并不多，這導(dǎo)致首席信息安全官和首席信官錯(cuò)失了為他們的企業(yè)共同構(gòu)建更強(qiáng)大的漏洞管理計(jì)劃的機(jī)會(huì)。

Nocera說(shuō)，將安全性更早地引入開(kāi)發(fā)過(guò)程(或“左移”)，可以讓首席信息安全官在代碼投入生產(chǎn)之前提前解決安全問(wèn)題，所以不會(huì)在環(huán)境中引入已知的漏洞。

Nocera說(shuō)，左移不一定會(huì)減少漏洞管理工作的數(shù)量，但就像消除遺留系統(tǒng)和技術(shù)債務(wù)一樣，它確實(shí)可以釋放資源，以便團(tuán)隊(duì)可以?xún)?yōu)化他們的漏洞管理工作。