多年來,各企業(yè)一直忽視漏洞管理計劃,如今為應(yīng)對業(yè)務(wù)風(fēng)險,開始重視漏洞管理計劃。十幾位CISO分享了經(jīng)驗(yàn)教訓(xùn)和最佳實(shí)踐。
那是2003年,我在芝加哥的一次行業(yè)會議上進(jìn)行了我的首次網(wǎng)絡(luò)安全演講。我談到了當(dāng)時肆虐的蠕蟲和病毒(如MSBlast、SQLSlammer等),并向聽眾強(qiáng)調(diào)了強(qiáng)大漏洞和補(bǔ)丁管理的重要性。
到了問答環(huán)節(jié),一位聽眾總結(jié)了他的困境,并拋出了一個非常尖銳的問題:“我們同時面臨著數(shù)千個漏洞。我們?nèi)绾未_定哪些漏洞的優(yōu)先級?”
我籠統(tǒng)地回答:“基于已知的企業(yè)威脅進(jìn)行優(yōu)先級排序”或“基于資產(chǎn)的業(yè)務(wù)關(guān)鍵性進(jìn)行優(yōu)先級排序”。這個答案是準(zhǔn)確但模糊的。20多年過去了,這位聽眾的困境和問題仍然困擾著許多企業(yè)。
然而,發(fā)生變化的是問題的規(guī)模。2003年,大型企業(yè)面臨數(shù)千個活躍漏洞。如今,他們面臨的漏洞數(shù)量已達(dá)數(shù)十萬甚至更多。與此同時,許多企業(yè)仍面臨多年前的同樣挑戰(zhàn)——缺乏經(jīng)驗(yàn)豐富的員工、手動流程、安全團(tuán)隊(duì)與其他團(tuán)隊(duì)(IT運(yùn)營、軟件開發(fā))目標(biāo)不一致等。
由于現(xiàn)代企業(yè)依賴軟件運(yùn)行,漏洞管理不善會帶來嚴(yán)重的業(yè)務(wù)風(fēng)險。那么,CISO們是如何改進(jìn)他們的計劃以更好地減輕風(fēng)險的呢?在過去幾個月里,我與十幾位安全高管進(jìn)行了交談以找出答案。雖然我做了大量相關(guān)筆記,但他們的回答歸結(jié)為了以下十個最佳實(shí)踐。
漏洞管理的十個一致最佳實(shí)踐
1. 文化
成功的漏洞管理計劃始于在整個企業(yè)內(nèi)建立注重網(wǎng)絡(luò)安全的文化。許多CISO承認(rèn),他們面臨過歷史遺留的文化問題,其中一位對此進(jìn)行了很好的總結(jié)。“我們的網(wǎng)絡(luò)安全文化曾經(jīng)非常隨意,直到我們遭遇了Log4J漏洞和勒索軟件攻擊,”他告訴記者。“這些事件讓CEO和董事會如夢初醒。他們聘請了我,調(diào)整了預(yù)算,并承諾將采取必要措施。”在這種文化轉(zhuǎn)變中,改進(jìn)漏洞管理成為首要任務(wù)。
2. 文檔記錄
大多數(shù)CISO都同意,漏洞管理的各個階段都應(yīng)得到妥善記錄、評估和審查。這是對他們長期以來存在的漏洞管理問題沒有快速解決方案的重要認(rèn)識。
相反,企業(yè)必須深入漏洞管理生命周期的每個階段,尋找效率低下之處,制定改進(jìn)策略,并確定衡量進(jìn)度的正確指標(biāo)。CISO們還明白,這項(xiàng)工作沒有終點(diǎn),但可靠的記錄有助于所有階段持續(xù)改進(jìn),一刻不停。
3. 制定流程
我交談過的大多數(shù)CISO都大量借鑒了現(xiàn)有框架,但根據(jù)他們的業(yè)務(wù)、行業(yè)和企業(yè)需求進(jìn)行了定制。一旦制定完成,標(biāo)準(zhǔn)漏洞管理流程便可在整個企業(yè)中推行,并對其進(jìn)行持續(xù)監(jiān)控以尋求改進(jìn)。
一位CISO提到,她的企業(yè)在此基礎(chǔ)上更進(jìn)一步——在收購一家公司后,安全團(tuán)隊(duì)有一個現(xiàn)成的計劃,可以將被收購公司的漏洞管理計劃轉(zhuǎn)變?yōu)榉掀浼榷P偷挠媱潱渲羞€包括衡量進(jìn)度的指標(biāo)。
4. 明確必要的安全數(shù)據(jù)
需要明確的是,這首先不是技術(shù)盤點(diǎn)工作。CISO們評估他們擁有哪些數(shù)據(jù),并將其與所需數(shù)據(jù)進(jìn)行比較。有了這些知識后,他們就可以指派員工去尋找能夠填補(bǔ)空白的技術(shù)。
5. 將集成嵌入到漏洞管理中
這同樣是一個學(xué)術(shù)性而非技術(shù)性的項(xiàng)目。它始于了解誰需要什么數(shù)據(jù),以及這些數(shù)據(jù)來自哪里。一旦個人收到正確的數(shù)據(jù),他們會怎么處理這些數(shù)據(jù)?假設(shè)這一切都進(jìn)展順利,數(shù)據(jù)分析是否會觸發(fā)自動或手動操作?在映射了所有“輸入”和“輸出”組件后,CISO們通常會邀請供應(yīng)商合作伙伴參與審查。目標(biāo)是什么?讓他們參與進(jìn)來,使用必要的連接器、API和數(shù)據(jù)格式,將設(shè)計變?yōu)楝F(xiàn)實(shí)。
6. 確定用于優(yōu)先排序的正確指標(biāo)
這直接回應(yīng)了我在2003年被問到的問題。這也是漏洞管理與暴露管理相結(jié)合的地方,一切都與背景有關(guān)。漏洞資產(chǎn)的業(yè)務(wù)價值是什么?漏洞資產(chǎn)是否處于攻擊路徑上?是否有補(bǔ)償控制措施到位?補(bǔ)償控制措施最近是否經(jīng)過測試?
我知道這似乎是一個顯而易見的步驟,但我交談過的CISO們已經(jīng)將這一步驟以及更多因素納入了一個定制的風(fēng)險評分系統(tǒng)中,這是整個計劃的核心。
7. 建立服務(wù)級別協(xié)議(SLA)規(guī)范
優(yōu)先級層次結(jié)構(gòu)與安全、IT、軟件開發(fā)和第三方風(fēng)險管理團(tuán)隊(duì)之間嚴(yán)格的SLA相結(jié)合。例外情況很少見。許多企業(yè)在團(tuán)隊(duì)錯過SLA截止日期時還有正式的審查流程。同樣,這里也需要持續(xù)改進(jìn)。
8. 制定緊急補(bǔ)丁程序
Log4Shell和SolarWinds等事件給許多CISO敲響了警鐘,他們意識到自己的企業(yè)在應(yīng)對這類緊急事件時毫無準(zhǔn)備。這一認(rèn)識促使CISO們創(chuàng)建、組建團(tuán)隊(duì)并測試專為這類事件設(shè)計的應(yīng)急響應(yīng)計劃。
一位CISO說:“雖然我對我們過去事件的應(yīng)對感到自豪,但多名團(tuán)隊(duì)成員連續(xù)幾周疲憊不堪,離職率也飆升。我們不能總靠英雄式的人物,我們需要一個可以依賴的系統(tǒng)化程序。我希望沒有‘下一次’,但如果有,我們將更有準(zhǔn)備。”
9. 使不同團(tuán)隊(duì)的目標(biāo)、指標(biāo)和薪酬保持一致
漏洞管理依賴于擁有強(qiáng)大溝通能力、一致指標(biāo)和共同目標(biāo)的跨職能團(tuán)隊(duì)——這是人員方面的因素。
這始于上文討論的致力于網(wǎng)絡(luò)安全文化的承諾,但我交談過的CISO們還與CIO、業(yè)務(wù)經(jīng)理和人力資源人員合作,創(chuàng)造了正確的工作流程、自動化、報告、信息傳遞,甚至員工薪酬福利,以激勵不同群體和個人之間的合作。當(dāng)CISO與CIO定期攜手合作,發(fā)現(xiàn)瓶頸并審查進(jìn)度時,安全工作會變得更加有效。
10.通過持續(xù)有效性測試加強(qiáng)漏洞管理
多年前,我創(chuàng)造了一個笨拙的縮寫SOPV,代表安全可觀測性、優(yōu)先級排序和驗(yàn)證。這個縮寫并未流行起來,但我交談過的CISO們已經(jīng)接受(或正在接受)連續(xù)安全驗(yàn)證測試的概念。
當(dāng)然,驗(yàn)證是漏洞管理生命周期的一個階段,那么發(fā)生了什么變化?許多公司已經(jīng)從定期滲透測試轉(zhuǎn)向使用新工具或托管服務(wù)的連續(xù)安全測試。MITRE將此稱為基于威脅的防御。通過這種方式,企業(yè)不僅可以驗(yàn)證漏洞修復(fù)情況,還可以測試控制措施的有效性,并為檢測規(guī)則工程提供藍(lán)圖。
CISO們還有許多其他戰(zhàn)爭故事和建議,但無論企業(yè)規(guī)模、位置或行業(yè)如何,上述十個建議都非常普遍。最后,我要報告另一個共同點(diǎn):用網(wǎng)絡(luò)安全領(lǐng)域一個常見的比喻來說,CISO們意識到,強(qiáng)大的漏洞管理是一場非線性之旅,而不是終點(diǎn)。
換句話說,這項(xiàng)工作永遠(yuǎn)沒有完成的時候,而是要不斷尋求改進(jìn)每一步和每一項(xiàng)任務(wù)。要保護(hù)現(xiàn)代企業(yè),總有大量工作要做,但這就是現(xiàn)實(shí)。
