什么是漏洞管理生命周期?
2023 年 7 月 28 日
阅读时长 6 分钟

美国国家标准与技术研究院 (NIST) 每个月都会向国家漏洞数据库添加 2,000 多个新的安全漏洞。安全团队不需要跟踪所有这些漏洞,但他们确实需要一种方法来识别和解决对系统构成潜在威胁的漏洞。这就是漏洞管理生命周期的用途。

漏洞管理生命周期是一个发现、确定优先级并解决公司 IT 资产中的漏洞的持续流程。

典型的一轮生命周期分为五个阶段:

  1. 资产清单和漏洞评估。
  2. 漏洞优先级划分。
  3. 漏洞处理。
  4. 验证和监控。
  5. 报告和改进。

漏洞管理生命周期允许组织通过采取更具战略性的漏洞管理方法来改善安全状况。安全团队不会在新漏洞出现时才做出反应,而是积极寻找系统中的缺陷。组织可以识别最关键的漏洞,并在威胁行为者发动攻击之前采取保护措施。

漏洞管理生命周期为何如此重要?

漏洞是指网络或资产在结构、功能或实施方面存在的任何安全薄弱环节,黑客可以利用这些薄弱环节来损害公司。

漏洞可能源于资产建设过程中的根本性缺陷。臭名昭著的 Log4J 漏洞便是如此。针对此漏洞,常用 Java 库中的编码错误可让黑客在受害者的计算机上远程运行恶意软件。其他漏洞则由人为错误所致;例如,配置不当的云存储桶会将敏感数据暴露给公共互联网。

每个漏洞对于组织来说都是一种风险。根据 IBM 的 X-Force Threat Intelligence Index,漏洞利用是第二大常见的网络攻击媒介。X-Force 还发现,新漏洞的数量每年都在增加,仅 2022 年记录的漏洞数量就为 23,964 个。

如今,黑客可利用的漏洞已越来越多。作为应对措施,各大企业已将漏洞管理作为其网络风险管理战略的关键组成部分。漏洞管理生命周期可为在不断变化的网络威胁态势下实施有效的漏洞管理计划提供一个正式的模型。通过采用此生命周期,组织可享受以下部分优点:

  • 主动发现和解决漏洞:企业往往在黑客利用漏洞之前并不知道自己存在漏洞。漏洞管理生命周期围绕持续监控构建,因此安全团队能够先于对手发现漏洞。
  • 战略资源分配:每年都会发现数以万计的新漏洞,但只有少数与组织相关。漏洞管理生命周期可帮助企业确定网络中最关键的漏洞,并优先修复最大的风险。
  • 更一致的漏洞管理流程:漏洞管理生命周期为安全团队提供可重复的流程,从漏洞发现到修复等等。更一致的流程可产生更一致的结果,并使公司能够实现资产清单、漏洞评估和补丁管理等关键工作流程的自动化。
漏洞管理生命周期的各个阶段

网络中随时可能出现新漏洞,因此漏洞管理生命周期是一个持续循环,而不是一系列不同事件。每轮生命周期都直接影响到下一轮。一轮通常包含以下阶段:

第 0 阶段:规划和准备工作

从技术上讲,规划和准备工作发生在漏洞管理生命周期之前,因此被称为“第 0 阶段”。在此阶段,组织确定漏洞管理流程的关键细节,其中包括:

  • 涉及哪些利益相关者,以及他们将担任哪些角色
  • 可用于漏洞管理的资源(包括人员、工具和资金)
  • 确定漏洞优先级并做出回应的一般准则
  • 衡量项目是否成功的指标

组织不会在每轮生命周期之前都经历这个阶段。一般来说,公司在启动正式的漏洞管理计划之前会进行广泛的规划和准备工作。计划到位后,利益相关者定期重新审视规划和准备工作,以根据需要更新整体指南和战略。

第 1 阶段:资产发现和漏洞评估

正式的漏洞管理生命周期始于资产清单 – 组织网络上所有硬件和软件的目录。清单包括官方批准的应用程序和端点以及员工未经批准使用的任何影子 IT 资产。

由于新资产会定期添加到公司网络中,因此资产清单在每轮生命周期之前都会更新。公司经常使用攻击面管理平台等软件工具来实现清单自动化管理。

确定资产后,安全团队会对其进行漏洞评估。团队可以结合使用各种工具和方法,包括自动漏洞扫描程序、人工渗透测试和来自网络安全社区的外部威胁情报

在每轮生命周期中对每项资产进行评估是一项非常繁重的工作,因此安全团队通常会分批开展工作。每轮生命周期都侧重于一组特定的资产,较关键的资产组会更频繁地接受扫描。一些先进的漏洞扫描工具实时持续评估所有网络资产,使安全团队能够采取更加动态的方法来发现漏洞。

第 2 阶段:漏洞优先级划分

安全团队会对评估阶段发现的漏洞进行优先级划分。确定优先级可确保团队首先解决最关键的漏洞。此阶段还有助于团队避免将时间和资源投入到低风险漏洞中。

为了确定漏洞的优先级,团队思考以下标准:

  • 来自外部威胁情报的关键性评级:其中可能包括 MITRE 的常见漏洞和披露 (CVE) 列表或常见漏洞评分系统 (CVSS)
  • 资产关键性:关键资产中的非严重漏洞通常比不太重要资产中的严重漏洞具有更高的优先级。
  • 潜在影响:安全团队会权衡黑客利用特定漏洞可能产生的后果,包括对业务运营的影响、经济损失和任何法律诉讼的可能性。
  • 利用的可能性:安全团队更加关注黑客在自然环境下积极使用的已知漏洞。
  • 误报:安全团队在投入任何资源之前,要确保漏洞确实存在。

第 3 阶段:漏洞解决

安全团队按照从最严重到最不严重的顺序,逐一排查已确定优先级的漏洞。组织有三种方法来解决漏洞:

  1. 修复:彻底解决漏洞,使其无法再被利用,例如修补操作系统漏洞、修复错误配置或从网络中移除易受攻击的资产。修复并非始终可行。对于某些漏洞,在发现时尚无法提供完整修复(例如零日漏洞)。对于其他漏洞,修复工作会耗费大量资源。
  2. 缓解:在不完全消除漏洞的情况下,增加利用漏洞的难度,减轻利用漏洞的影响。例如,向 Web 应用程序添加更严格的身份验证和授权措施会使黑客更难劫持帐户。针对已发现的漏洞制定事件响应计划可以减轻网络攻击的打击。安全团队通常会选择在无法修复或修复成本过高时进行缓解。
  3. 接受:有些漏洞影响较小或不太可能被利用,因此修复它们不具有成本效益。在这种情况下,组织可以选择接受漏洞。

第 4 阶段:验证和监控

为了验证缓解和修复工作是否达到预期效果,安全团队会重新扫描和测试他们刚刚处理的资产。这些审计有两个主要目的:确定安全团队是否成功解决了所有已知漏洞,并确保缓解和修复措施不会带来任何新问题。

作为重新评估阶段的一部分,安全团队还对网络进行更广泛的监控。该团队寻找自上次扫描以来出现的任何新漏洞、已过时的旧缓解措施或可能需要采取措施的其他更改。所有这些发现都有助于为下一轮生命周期提供信息。

第 5 阶段:报告和改进

安全团队记录最近一轮生命周期的活动,包括发现的漏洞、采取的解决步骤和结果。这些报告与相关利益相关者共享,包括高管、资产所有者、合规部门等。

安全团队还反思最近一轮生命周期的进展情况。该团队可能会关注关键指标,例如平均检测时间 (MTTD)、平均响应时间 (MTTR)、关键漏洞总数和漏洞重现率。通过长期跟踪这些指标,安全团队可以建立漏洞管理计划的绩效基线,并确定长期改进计划的机会。从一轮生命周期中吸取的经验教训可以使下一轮生命周期更加有效。

深入了解漏洞管理解决方案

漏洞管理是一项复杂的工作。即使有正式的生命周期,安全团队在试图追踪大型企业网络中的漏洞时,也可能会觉得自己是在大海捞针。

IBM X-Force Red 可帮助简化此流程。X-Force Red 团队提供全面的漏洞管理服务,并与组织共同致力于识别关键资产、发现高风险漏洞、全面修复弱点以及采取有效的对策。

IBM® Security QRadar Suite 可以通过现代化威胁检测与响应解决方案,为资源紧张的安全团队提供进一步支持。QRadar Suite 将端点安全、日志管理、SIEM 和 SOAR 产品集成到通用用户界面中,并嵌入企业自动化和 AI,帮助安全分析师提高工作效率,并更有效地跨技术工作。

 
作者
Matt Kosinski Writer