漏洞管理生命周期是一个发现、确定优先级并解决公司 IT 资产中的漏洞的持续流程。
漏洞是指网络或资产在结构、功能或实施方面存在的任何安全薄弱环节,黑客可以利用这些薄弱环节来损害公司。
漏洞可能源于资产建设过程中的根本性缺陷。臭名昭著的 Log4J 漏洞便是如此。针对此漏洞,常用 Java 库中的编码错误可让黑客在受害者的计算机上远程运行恶意软件。其他漏洞则由人为错误所致;例如,配置不当的云存储桶会将敏感数据暴露给公共互联网。
每个漏洞对于组织来说都是一种风险。根据 IBM的 X-Force Threat Intelligence Index,利用面向公众的应用程序漏洞是最常见的网络攻击途径之一。
如今,黑客可利用的漏洞已越来越多。作为应对措施,各大企业已将漏洞管理作为其网络风险管理战略的关键组成部分。漏洞管理生命周期可为在不断变化的网络威胁态势下实施有效的漏洞管理计划提供一个正式的模型。通过采用此生命周期,组织可享受以下部分优点:
网络中随时可能出现新漏洞,因此漏洞管理生命周期是一个持续循环,而不是一系列不同事件。每轮生命周期都直接影响到下一轮。一轮通常包含以下阶段:
从技术上讲,规划和准备工作发生在漏洞管理生命周期之前,因此被称为“第 0 阶段”。在此阶段,组织确定漏洞管理流程的关键细节,其中包括:
组织不会在每轮生命周期之前都经历这个阶段。一般来说,公司在启动正式的漏洞管理计划之前会进行广泛的规划和准备工作。计划到位后,利益相关者定期重新审视规划和准备工作,以根据需要更新整体指南和战略。
正式的漏洞管理生命周期始于资产清单 – 组织网络上所有硬件和软件的目录。清单包括官方批准的应用程序和端点以及员工未经批准使用的任何影子 IT 资产。
由于新资产会定期添加到公司网络中,因此资产清单在每轮生命周期之前都会更新。公司经常使用攻击面管理平台等软件工具来实现清单自动化管理。
确定资产后,安全团队会对其进行漏洞评估。团队可以结合使用各种工具和方法,包括自动漏洞扫描程序、人工渗透测试和来自网络安全社区的外部威胁情报。
在每轮生命周期中对每项资产进行评估是一项非常繁重的工作,因此安全团队通常会分批开展工作。每轮生命周期都侧重于一组特定的资产,较关键的资产组会更频繁地接受扫描。一些先进的漏洞扫描工具实时持续评估所有网络资产,使安全团队能够采取更加动态的方法来发现漏洞。
安全团队会对评估阶段发现的漏洞进行优先级划分。确定优先级可确保团队首先解决最关键的漏洞。此阶段还有助于团队避免将时间和资源投入到低风险漏洞中。
为了确定漏洞的优先级,团队思考以下标准:
安全团队按照从最严重到最不严重的顺序,逐一排查已确定优先级的漏洞。组织有三种方法来解决漏洞:
为了验证缓解和修复工作是否达到预期效果,安全团队会重新扫描和测试他们刚刚处理的资产。这些审计有两个主要目的:确定安全团队是否成功解决了所有已知漏洞,并确保缓解和修复措施不会带来任何新问题。
作为重新评估阶段的一部分,安全团队还对网络进行更广泛的监控。该团队寻找自上次扫描以来出现的任何新漏洞、已过时的旧缓解措施或可能需要采取措施的其他更改。所有这些发现都有助于为下一轮生命周期提供信息。
安全团队记录最近一轮生命周期的活动,包括发现的漏洞、采取的解决步骤和结果。这些报告与相关利益相关者共享,包括高管、资产所有者、合规部门等。
安全团队还反思最近一轮生命周期的进展情况。该团队可能会关注关键指标,例如平均检测时间 (MTTD)、平均响应时间 (MTTR)、关键漏洞总数和漏洞重现率。通过长期跟踪这些指标,安全团队可以建立漏洞管理计划的绩效基线,并确定长期改进计划的机会。从一轮生命周期中吸取的经验教训可以使下一轮生命周期更加有效。