沒有正確的衡量標準，漏洞管理就毫無意義。如果你沒有測試，你怎么知道它起作用呢?那么，你怎么知道該專注于什么呢?這份清單可能是沒完沒了的，而且很難知道什么才是真正重要的。

在本文中，我們將幫助你確定跟蹤漏洞管理計劃狀態(tài)并創(chuàng)建審計就緒報告所需的關(guān)鍵指標，其中包括：

• 證明你的安全狀態(tài)
• 滿足漏洞補救SLA和基準
• 幫助通過審核和合規(guī)
• 展示安全工具的投資回報
• 簡化風險分析
• 確定資源分配的優(yōu)先順序

為什么漏洞管理需要衡量標準

通過測試查找、區(qū)分優(yōu)先級和修復漏洞的速度，企業(yè)可以持續(xù)監(jiān)控和優(yōu)化企業(yè)網(wǎng)絡(luò)的安全性。有了正確的衡量標準，你可以確定哪些問題是關(guān)鍵問題，確定優(yōu)先解決哪些問題，并衡量你的績效。歸根結(jié)底，正確的指標使你能夠做出適當?shù)闹闆Q策。

智能優(yōu)先級排序

沒有優(yōu)先順序和建議，你從哪里開始呢?對最關(guān)鍵的漏洞進行優(yōu)先級排序和修復比簡單地找到每個漏洞更重要。

智能優(yōu)先排序和過濾噪音非常重要，因為當你被非必要的信息淹沒時，忽略真正的安全威脅太容易了。智能結(jié)果可以優(yōu)先處理對你的安全有實際影響的問題，而不會給你帶來不相關(guān)的結(jié)果負擔，從而使你的工作更輕松。

對使你的面向互聯(lián)網(wǎng)的系統(tǒng)暴露的問題進行優(yōu)先排序，可以最大限度地減少你的攻擊面。入侵者通過解釋風險并提供可行的補救建議，使漏洞管理變得容易。

是時候解決問題了

你希望能夠盡快解決問題。尤其是在攻擊者發(fā)現(xiàn)和利用漏洞之間的平均時間只有12天的情況下。入侵者解釋來自各種掃描儀的輸出，并根據(jù)上下文確定結(jié)果的優(yōu)先順序，從而節(jié)省你專注于真正重要的事情的時間。修復問題需要多長時間取決于你自己，這會給你一個關(guān)于你的“網(wǎng)絡(luò)衛(wèi)生”的最新快照--掃描覆蓋范圍，六個月內(nèi)修復問題所需的時間，以及整體修復問題的平均時間。

每個漏洞管理計劃的3個頂級指標

掃描覆蓋范圍

你在追蹤和掃描什么?掃描覆蓋范圍包括你要覆蓋的所有資產(chǎn)以及對所有業(yè)務關(guān)鍵型資產(chǎn)和應用程序的分析，以及提供的身份驗證類型(例如，基于用戶名和密碼的身份驗證或未經(jīng)身份驗證的身份驗證)。

平均修復時間

你的團隊修復你的關(guān)鍵漏洞所花費的時間顯示了你的團隊在對任何報告的漏洞做出反應時的響應程度。這一比例應始終較低，因為安全團隊負責解決問題，并向管理層傳遞補救信息和行動計劃。

風險分值

每個問題的嚴重性由你的掃描儀自動計算，通常為嚴重、高或中等。如果你決定不在指定時間段內(nèi)修補特定或一組漏洞，這是對風險的接受。對于入侵者，如果你愿意承擔風險，并且有緩解因素，你可以暫停一個問題。

你需要用什么指標來向管理層展示?

你想要報告的指標取決于你向誰報告。如果是首席技術(shù)官或高級管理層，他們只想知道業(yè)務受到保護，他們正在獲得投資回報。例如，是否有任何新的關(guān)鍵問題，修復的速度有多快，還有多少問題仍未解決(以及原因)。

確保所有東西都準備好了

你是否正在從你的IT環(huán)境中的每一項資產(chǎn)中獲取一切?像Intruder這樣的現(xiàn)代掃描儀提供自動化的審計就緒報告，但重要的是知道你的所有數(shù)字資產(chǎn)在哪里，以避免盲點、未打補丁的系統(tǒng)和不準確的報告-這就是資產(chǎn)發(fā)現(xiàn)對于成功的漏洞管理不可或缺的原因。通過確保覆蓋你的所有數(shù)字資產(chǎn)，你可以驗證在你的最關(guān)鍵系統(tǒng)的補救計劃中應優(yōu)先考慮哪些內(nèi)容。

漏洞管理指標走向何方?

平均檢測時間

這就是漏洞公之于眾的關(guān)鍵所在，因為我們已經(jīng)掃描了所有目標并檢測到了漏洞。從本質(zhì)上講，檢測整個攻擊面的漏洞以減少攻擊者的機會窗口的速度有多快。

攻擊面可見性

很少有人足夠幸運地控制并100%看到他們的攻擊面。這就是攻擊面發(fā)現(xiàn)的用武之地。你將擁有你知道的或你已經(jīng)找到的資產(chǎn)的總數(shù)，但其中有多少被漏洞管理計劃覆蓋?你希望看到的是你的漏洞管理程序在整個攻擊面上保護的資產(chǎn)的百分比，無論是已發(fā)現(xiàn)的還是未發(fā)現(xiàn)的。

平均通知時間

優(yōu)先排序-或智能結(jié)果-對于衡量和幫助你決定首先解決哪些問題越來越重要，因為它們會對業(yè)務產(chǎn)生影響。

展望未來：是時候修正了

你希望正確的人——那些真正解決問題的人——盡快獲得他們需要的信息。這意味著包括基于角色的訪問控制(RBAC)等功能，它可以將修復時間從幾小時或幾天減少到幾分鐘左右。

衡量和分析的要素

衡量和分析的要素為利益相關(guān)者和合規(guī)性審核員提供審核就緒報告，其中包含優(yōu)先處理的漏洞以及與你的問題跟蹤工具的集成。查看易受攻擊的內(nèi)容，并獲得管理網(wǎng)絡(luò)風險所需的確切優(yōu)先級、補救措施、洞察力和自動化。