首席信息安全官应向企业员工宣传掌握安全基础的必要性,并努力建立稳定的漏洞管理计划。由于需要注意的漏洞数量、解决漏洞所需的速度或有效资源,其计划可能会受到阻碍。
例如,考虑安全团队的解决方案Log4j漏洞面临的挑战。由认证的网络安全专业人员组成的非营利性协会(ISC)2最近的一项调查发现,52%的受访者花了几周或一个多月的时间修复它Log4j漏洞。
诚然,Log4j漏洞影响很大,但安全专家表示,这个数字和其他研究以及他们自己的调查表明,许多企业仍在改进识别、确定优先级和修复软件中的安全问题的过程。
以下最佳实践有助于构建高效的漏洞管理计划:
1.了解自己的环境
安全专家强调,首席信息安全官需要准确了解他们需要保护的技术环境;这有助于他们了解已知和新发现的漏洞。
然而,这很容易做到。网络安全培训机构SANS Institute公司认证讲师、安全技术人员Scythe公司首席技术官和C2 Matrix项目的共同创建者Jorge Orchiles每个人都说他们有安全措施,但通常需要更深入。他们不知道幕后发生了什么。这仍然是最大的挑战。
他说,他看到成熟的安全操作占环境的主要组成部分,但忽略了较小的元素和代码本身,这可能会留下未修复的关键漏洞。
Orchiles建议网络安全领导确保他们有详细的技术环境记录,包括编程库和其他组件(事实证明,这些组件是修复的Log4j漏洞的企业非常重要)。此外,首席信息安全官带来的团队必须不断更新新系统。
2.制定一个真正的计划(不仅仅是临时工作)
扫描和修复任何漏洞似乎都足够了,但安全专家表示,临时方法既低效又不足。例如,安全团队花了宝贵的时间来修复对企业构成有限威胁的漏洞,而不是优先考虑高风险问题。或者他们忙于完成其他项目,推迟漏洞管理,直到他们有空闲时间。
TCE Strategy公司首席执行官Bryce Austin据说,为了防止这种情况发生,首席信息安全官应该采用程序化的方法来管理漏洞,这结合了企业对风险的容忍度,以及确定优先级、补救和缓解识别漏洞的过程。
该计划还应确定企业实施漏洞扫描的频率,并包括与供应商补丁发布日期相关的时间表。
咨询机构Protiviti公司的技术风险,IT审计与网络安全服务董事兼总经理ISACA纽约大都会分会主席Farid Abdelkader补充说,一个好的漏洞管理计划应该有明确的流程和政策,特许经营团队和治理。
Abdelkader还建议首席信息安全官使用能够显示其执行情况的关键绩效指标来确定良好的外观和需要改进的领域,然后指示随着时间的推移而取得的进展。
《够安全吗?20个企业主和高管网络安全问题》一文作者Austin他说,拥有成熟漏洞管理计划的企业有一个向企业高管报告其活动的过程,以便他们能够理解该计划的重要性和跟踪记录。他指出,这有助于确保有效的监督,并将漏洞管理与企业内的任何其他业务风险相同。
3.根据企业自身的风险进行定制
企业需要不断发现新的漏洞,再加上现有的已知漏洞,几乎不可能修复这些问题。Abdelkader重要的是要找到一种方法来发现最重要的漏洞,并确定修复工作的优先顺序。
Abdelkader企业知道事件的严重性。如果有漏洞怎么办?这对数据有什么影响?或者如果系统出现故障?这将对企业的业务、客户或声誉产生什么影响?企业需要了解这些资产的真实风险和这些事情的实际风险。
本工作可由漏洞扫描、供应商等安全渠道提供的分类(高、中、低)指导,但过程应考虑企业对风险的容忍度、技术环境、行业等。
他解释说:它必须暴露企业、关键资产和资源、数据、计算机或系统的关键威胁。
他指出,作为一个孤立的系统,风险不同于当前的系统;因此,每个人都应该优先考虑与自身风险相对应的不同层次的补救。
然而,他补充说,这种基于企业自身风险状况的定制和优先级并不总是发生。他说:我看到很多漏洞管理项目都是从一个列表开始的。列表列出了漏洞扫描发现的内容、企业的实际关键风险和真正关注的问题。
4.重新审视风险和优先事项
对于强大的脆弱性管理计划来说,提高企业的风险承受能力,建立工作优先流程至关重要。但这些任务不能被视为已完成的任务。
Austin补充说,他们应该每年至少重新访问一次,也可以在企业内部或IT当环境发生重大变化时,访问。
5.使用框架和系统
MITRE Engenuity威胁情报防御研发中心的联合创始人兼代理主任Jon Baker表示,企业不需要自主开发技术来帮助完成漏洞管理任务,因为许多企业已经开发了框架和其他系统来帮助首席信息安全官管理。
Bake说,“这些框架和系统可以帮助企业查看安全漏洞,并了解网络攻击者如何使用它们的方法,因此可以使用框架和系统来确定漏洞和其响应的优先级。”
MITRE Engenuity技术基金会有其通用漏洞和暴露(CVE)自1999年以来,该系统一直提供具体的代码库版本,以披露已知的漏洞和暴露的信息(如其名称所述),并与这些漏洞有关。NIST特别出版物800-30,企业可以用它来评估风险。
此外,还有通用漏洞评分系统(CVSS),这是一个开放的框架,企业可以利用它来评估安全漏洞的严重性,以便根据威胁级别优先考虑。
MITRE Engenuity技术基金会也有ATT&CK框架(利用CVE),作为全面威胁知识防御策略的一部分,企业可以利用这个框架来确定需要注意的漏洞的优先级。
6.考虑直接供应商和第三方引入的漏洞
Log4j漏洞之所以成为问题,部分原因是Log4J工具在企业中如此普遍存在IT在团队和软件供应商开发的许多应用程序中。
Baker说,Log4j漏洞于2021年底浮出水面,这也表明,首席信息安全官需要了解、评估、优先考虑和缓解供应商产品中存在的或由第三方引入的漏洞。
他承认,企业安全团队在这方面遇到了挑战,因为企业安全部门往往不知道供应商解决方案中存在哪些漏洞,甚至可能无法扫描这些系统中的漏洞。
他说:我们确实缺乏我们所依赖的系统使用的代码和工具的透明度。他指出,软件材料清单(SBOM)在某些情况下,软件中的组件列表可以提供一些可见性。
Baker建议首席信息安全官审查他们与供应商就管理其产品漏洞的角色达成的协议,然后在必要时寻求插入合同语言,以限制错误被忽视或未修复的可能性。
他说:这是企业漏洞管理计划的一部分:了解供应商和第三方如何跟踪、确定优先级和修复漏洞。
7.建立制衡机制
另一个最佳实践是:不要将漏洞管理分配给IT团队。安全专家表示,首席信息安全官应有专门的个人或团队,负责识别漏洞,确定维修优先级,并监督补救和缓解措施的实施。
Austin他们需要有人对实际修复的团队保持健康的关系,因为对于那些通过更多的修复使工作更加困难的基础设施人员来说,更难严格检查漏洞扫描。任何自我监督功能都很容易受到冷漠或腐败的影响。所以需要制衡。
许多人同意这一点,并指出首席信息安全官可以选择托管安全服务提供商(MSSP)与内部基础设施、工程和/或devops团队合作执行补丁,并处理任何所需的停机时间和测试。
8.投资工具和团队
安全专家强调,有效的漏洞管理需要适当的人员、流程和技术,就像安全领域的所有其他工作一样。
他们指出,很多企业都有这些部分,但并不总是让这三个部分有效地合作。Baker安全团队通常有扫描工具,但可能不会引入有效处理工作负荷所需的自动化,
此外,Orchiles首席信息安全官和他们的公司必须承诺为这些团队提供成功所需的资源。
他指出,投资工具和团队可能看起来很直观,但并不总是遵循这些建议。例如,看到首席信息安全官投资于一种新工具,但没有投资于技术所需的员工,最大限度地利用技术所需的培训和变更管理。
他补充说:没有这些,工具就不能工作。