本文译自资产与漏洞管理厂商Tripwire于2019年6月开始发布的系列文章《登上VM之巅》。

登上VM之巅之一:整装待发

本系列文章旨在指引您顺利攀登漏洞管理山峰(VMM,Vulnerability Management Mountain)。漏洞管理好似登山,需要大量前期准备和艰苦工作,但登顶畅享无限风光在险峰的那一刻,所有的辛苦都值了。

攀登进展取决于资金保障和关注重点,但平稳快速地攀登无疑有助于守卫您的环境。攀登过程中您将沿着漏洞管理成熟度模型步步前进,而这一过程可在融入新团队或收购新公司时重复使用。

第一步:装备起来

毫无准备就开始登山是不明智的。攀登漏洞管理山峰(VMM)亦是如此,毫无准备将导致无尽挫折与最终失败。

为攀登VMM,我们制定出方案,准备好工具、计划(地图)和一起攀登的小伙伴。

计划(亦称地图)

谁都不会不带地图就去登山,漏洞管理计划就起到了地图的作用。此计划不会是静态的,过程中应根据需要做更改和标记。比如说,遭遇山体滑坡阻路的时候,就需要做个标记,重新绘制一条替代路线。

在开始之前,请考虑以下事项。

装备

没有合适的装备就无法攀登高山,攀登漏洞管理这座高峰同样如此。有很多工具可以在此过程中为您提供帮助,包括商业工具和开源工具。您可以选择使用在一个产品里整合了多数常用任务的漏洞管理(VM)套件,也可以针对特定任务挑选不同工具执行。

每种工具和方法都各有利弊,因此请选择最适合自己的工具,并要明白如果该工具不适合是可以换的,而且可以使用不止一种工具。备份在任何时候都不失为一个好主意。

合作伙伴

登山需要队友,攀登VMM也需要合作伙伴,比如渗透测试团队、可信安全顾问等等。渗透测试团队可以是内部的,也可以是外部的,他们会组合运用各种方法来评估网络和应用程序,这些方法在单个VM应用程序中可不那么容易部署。可信安全顾问通常来自于您购买工具的商业公司、商业合作伙伴,或解决同类问题的业界关系。

够买商业VM工具时,您应可以咨询支持部门,他们既了解该产品,也了解漏洞管理最佳实践和漏洞本身。优秀的供应商还会向您开放其编写漏洞内容和研究漏洞的团队。您的商业合作伙伴和业内关系网也很重要,因为信息共享是领先威胁一步的关键。

您不应共享您的漏洞信息,但可以共享攻击发生的消息和趋势,共享最佳实践,甚至共享哪些措施有用或没用。

网络布局

除非您的网络是小型扁平网络,否则总得决定如何划分网络以进行评估。大型网络评估会返回海量数据,不仅难以梳理,还很容易催生挫败感。不妨现在就开始拆解此布局,我们将在接下来的步骤中根据需要对其进行调整。划分网络的一些常用方法包括:

  • 按职能团队或业务单元分 - 人力资源、工程、财务、销售、隔离区(DMZ)等等。

  • 按所有者分- 系统归属哪支系统管理团队。

  • 按地理位置分- 国家、省份、城市等等。

好了,做好调查,绘制好地图,接下来我们就可以开启VMM攀登之旅了。

登上VM之巅之二:迈出第一步

如开篇所言,本系列文章的目的是指导您登上漏洞管理山峰(VMM)。漏洞管理好似登山,需要大量前期准备和艰苦工作,但登顶畅享无限风光在险峰的那一刻,所有的辛苦都值了。

第一阶段,我们从规划漏洞山峰之旅开始。

准备爬山时,装备必不可少,您得知道问店家要什么。若毫无经验,很容易就带着一堆无法协同工作的装备、产品和计划回来了,而您的登山之旅所面临的风险也扩大了。

首先,我们来定义一下将要用到的术语,免得后面鸡同鸭讲,有听没有懂。

漏洞 - 根据RFC 4949,漏洞指的是系统在设计、实现或操作和管理中的缺陷,可被利用来违反该系统的安全策略。

资产 – 资产的概念在过去几年中发生了变化,从服务器、桌面和网络设备等物理硬件,延伸到了网络或环境中的任何设备(虚拟或物理)、对象、装置或其他组件。现在我们所说的资产包括笔记本电脑、容器、无服务器代码,甚至物联网(IoT)设备。

漏洞评估- 识别网络或环境中漏洞的过程。漏洞评估旨在查看您在某个时间节点的资产状态,可通过评估工具或手动漏洞测试来进行。

修复 - 修补、阻止或规避漏洞的过程。应用补丁,修改配置,甚或用网络设备封锁漏洞利用尝试,都能起到修复作用。

脆弱 - 具有已知漏洞的资产就是脆弱的。未必非要可漏洞利用才算脆弱资产。即便存在修复措施,直到漏洞被修复前,带漏洞的资产依然是脆弱的。

若漏洞因配置或安全控制措施等其他原因而不可利用,那该资产就是脆弱但不可利用的。

漏洞成熟度模型是我们的VMM地图。

现在,我们来确定一下您处在攀登过程的哪个位置。或许您在一些方面比其他方面更胜一筹,但直到对现层级所有项目满意之前,您都不能进阶到下一层级。

最后的准备工作是盘点您的装备,也就是VM语境下的资产。弄清环境中的资产乍看起来似乎很容易,但是最终总会变得难以回答,特别是开始考虑自带设备(BYOD)、云资产,以及容器与虚拟机之类虚拟资产的时候。您是否有配置管理数据库(CMDB),该数据库是否是最新的?最佳选择是使用工具对您的网络执行深度扫描,扫描网络上每一个IP地址,返回关于您资产的所需信息。

您至少应该具备:

开始评估环境中的漏洞时,如果划分为可管理的几个部分,评估工作将会容易得多。可以按资产类型、地理位置、所有者、用途等标准进行划分。划分方式没有定论,要根据您的环境做出恰当的决策。

您刚刚迈出了VMM攀登之旅的第一步。可喜可贺!接下来,我们迈向第一道关卡

登上VM之巅之三:向高峰进发

您会通过设定每天路标点的方式来绘制远足或登山路线图,规划漏洞管理过程也得设立类似的目标。这些目标我们称之为成熟度层级,从ML0到ML5。

通过开源工具、资产跟踪数据库,或您钟爱的漏洞评估工具,您已梳理了您的现有资产。现在是时候攀登上第一个路标点ML0了。

万事开头难,ML0或许是您攀登路上最难的一段,因为您几乎相当于从零开始,得做很多体力活儿。登山者向山顶进发的过程中,他们将会逐渐适应山地严酷的环境,变得越来越强,登得越来越快。攀登漏洞大山也是如此;速度和强度会以自动化、集成和良好定义过程的形式引入。

看看您的资产清单。您如何确定要首先关注哪个系统?是DMZ、代码库?或者,甚至是CEO的笔记本电脑?此时您或许会有试图评估一切的冲动,但如果您采用漏洞评估工具或渗透测试团队,那您就极有可能拿到太多太多信息,以致无从下手。而且渗透测试如此巨大的范围,其成本也是高得可观的。

若要明智选择目标,您可以考虑:

  • 公司价值

  • 易修复程度

  • 人员配备和所有者

  • 变更控制窗口

  • 如果遭到破坏,资产能否从备份中还原?

  • 资产是否签有维护协议,可以获取补丁?

  • 是否设置有缓解措施(IPS、网络/主机配置等等)?

这就是个业务与安全目标的平衡问题。举个例子,如果DMZ中服务器的下一个变更控制窗口在三个月后到来,那DMZ就不是最佳起始位置,因为在评估和可以做出变更之间浪费的时间太多了。

但另一方面,这些系统可能是公司最具价值的资产,对其进行评估可以获得其状态的良好视图。这一视图还可能显示出需紧急变更控制窗口以缓解关键可利用漏洞的必要性。每个公司在最佳起始位置都不一样。这取决于您的目标。

一旦拿到手动渗透测试或产品漏洞扫描的报告,就是时候给这些结果排个轻重缓急了。

扫描工具或评估顾问可能已经按关键、高风险、中风险、低风险或CVSS梳理了漏洞。此处的问题是,这些评分会集中到几个大类中,那到底这50个关键漏洞中哪个是最关键的呢?CVSS稍好一点,但也不过是组分得多些而落入每组的漏洞数量稍少些而已,还是很难挑出最关键的那个漏洞。

良好漏洞管理产品会以更细粒度的合理方式排序评估结果。若您不清楚该从何处开始,那就选择最重要的资产,查看其上漏洞。按漏洞利用容易程度和风险排序可以得出最适合您的结论。最容易利用,且提供最高系统访问权限的漏洞,就是构成最高风险的漏洞。

[![VMM风险矩阵]

现在,您只需阅读有关漏洞的修复信息并恰当应用即可,方法包括打上补丁或修改主机/网络配置。

恭喜,您已到达ML0层级。

登上VM之巅之四:到达成熟度一层

到达ML:0时很多公司企业会觉得大开眼界。他们通常会发现很多新冒出来的,或者说此前一直被无视的资产。几乎每家公司都会发现自家的老寿星:肩负重担很多年却一直未更新的系统。系统管理员都不敢去碰这种系统,生怕搞砸了哪些东西。

攀登到这一阶段,您会看到资产发现和漏洞评估的价值,但这是个大费周章的体力活儿,那此中投资回报在哪儿呢?若您人力资源丰富,ML:0或许是您暂时驻足的地方。若您的公司与大多数公司一样受到安全人才短缺的困扰,那您就会知道配备优秀安全工程师有多么困难。

如果准备好了,那就开始迈向下一个层级:ML1。

先从制定登上ML1的计划开始。

这个时候,您已知道网络上有些什么,也对公司存在的漏洞总量有了概念。您的团队也修复或缓解了其中一些漏洞,知道了所牵涉的成本。手动扫描成本高昂,此时您需投资可以一键扫描的工具。现在是将网络划分为可以及时评估和缓解的逻辑块的时候了。

有许多方法可以划分网络环境以帮助您达到ML1,而正确的选择取决于多种因素。这里谨列出几个网络划分工作的最佳实践:

  • 若您的网络较小,计算机数量不超过1,000台,那最好的选择是仅创建两个组:内部机器和外部或DMZ机器。

  • 地理位置多样化的公司可能希望根据国家/地区、省、州或县来划分网络。

  • 如果网络上不是操作系统大杂烩,那按操作系统分类执行扫描是个不错的选择。

  • 还可以按所有者来划分系统。系统管理员通常负责多个系统,因此按照所有者来划分系统,扫描报告便仅流向相应系统的负责人了。

  • 按类型划分系统也很流行,比如笔记本电脑、Web服务器、台式机、网络设备等。

如您所见,有很多方法可以将网络环境划分为可管理的各个部分。解决方案无分对错,只有适不适合。所以,选择适合自己的方法,并知晓自己可以根据需要加以调整。

何时扫描一直是迈向ML1的大问题。如果在工作时段进行扫描,若该资产与扫描流量相互冲突,则您将面临营业日系统掉线的风险。网络设备、IP电话、摄像机和打印机最容易出现这种情况。在非营业时段启动扫描并监视系统故障是个好办法,可以知道所有资产在扫描过程中的表现。

另一个大问题是扫描频率。持续扫描是最终目标,但此时谈这个还太早。每周、每月或每季度扫描是该成熟度模型中此阶段的常规。微软、甲骨文和思科等大型资产供应商都有自己的补丁发布节奏,因此,若您在网络中部署了他们的产品,尽量与这些发布日期同步。如果扫描太频繁,会由于没有时间响应结果而浪费资源,而且您的系统管理员将为太多数据所扰,忙于切换新报告的任务而导致处理速度降低。挑个时间框架执行扫描是不错的选择,这样在下一次扫描的时候就可以验证结果并捕获新问题了。

在此阶段,您仍只是以临时方式解决问题,但确实应该采取更多处理并设置一些目标。比如说,下一次扫描时修复所有CVSS评分9分以上的漏洞。这种方法并不完美,但可以解决一些最紧要的问题,我们可以在此基础上加以改进。如果目标太低或过高,相应调整就是了。

欢迎踏入ML1!现在,您正按照修复最高评分CVSS问题的计划,以一定节奏执行针对所有资产的手动扫描。

登上VM之巅之五:到达成熟度二层

通往ML2的山坡开始变得愈加陡峭。现在是时候开始定义目标明确的漏洞管理项目了。此项目应能随公司成长而发展进化。

记录需求

先从记录当前位置及公司试图达到的目标开始。

定义利益相关者

利益相关者应来自公司内多个部门。比如说,您需要来自下列人员的支持:

  • IT

  • 高层管理

  • 法务

  • 安全和/或合规团队

  • 关键服务和系统所有者

获得业务优先级认可

为使项目获得成功,高级管理层必须将其作为业务重点予以认可,并为其提供资金。实现和执行该项目需要人员及预算成本,需合理分配此类资源。若项目不是公司充裕资金支持的重点项目,那失败的可能性就会很高。

需回答的问题

漏洞管理过程应从回答一些基本问题开始:

1. 角色和职责是什么?

  • 谁运行用于查找漏洞的工具?

  • 谁负责修复发现的漏洞?

2. 多久评估一次资产?

3. 如何以及何时沟通结果?

4. 标准修复时间线是?

5. 怎样处理异常?

6. 如何衡量成功?

7. 跟踪哪些指标以确保项目切实有效?

  • 何时审核这些指标?

  • 每个指标的所有者是谁?

8. 企业是否需要遵守任何会影响该项目的特殊规定?(PCI、SOX、HIPAA等)

启动项目

从无到有启动一个项目似乎是一项艰巨的任务,但您的安全供应商应准备好帮您创建,或辅助您修改现有项目。

US-CERT提供了一个很好的指南帮您入门。

项目启动后就可以看看ML2中还有哪些其他变化了。

评估时间表

在此阶段,临时评估将停止,并进行照计划排定的评估,确保以正常节奏对所有资产进行评估。关键资产的评估频率应至少每周一次,非关键资产每月最少一次。

评估时机的选择应将您供应商发布补丁的时间纳入考虑。例如,微软在每个月的第二个星期二发布补丁,甲骨文每季度发布补丁,而思科每半年发布一次补丁。请注意,正常补丁发布周期之间可能会有非常重要或关键的补丁发布。您必须准备好随时执行评估,以防严重漏洞突发的情况,但是围绕正常补丁节奏规划评估有助于使资产保持最新状态并减少带外紧急修复。

攀登到这一阶段,主要关注重点是环境中的关键系统。这些关键系统如今应已识别出来,所有硬件和软件的清单也应记录在案。漏洞评估应至少每周执行一次,漏洞也应及时修复。

ML2结语

持续推动漏洞项目,确保关键系统安全健康。营地已经不远了。

登上VM之巅之六:到达成熟度三层

ML:3就是VMM攀登之旅的大本营,到达ML:3意味着您已经到达了其他人的梦想之境。这一层级上,VM项目已经非常棒,您对环境中威胁的可见性已超越以往太多。

排序资产评估

  • 此阶段最大的变化在于关注公司内执行评估的广度。此时的目标是增加至少每月评估资产的覆盖面。尽管评估所有资产的理想很美好,但现实总是很骨感,所以资产的重要程度就决定了评估的节奏。

  • 例如:

  • 面向外部的关键资产 - 被黑可致业务停滞,至少每天评估一次

  • 非面向外部的关键资产 - 被黑可致业务停滞,至少每三天评估一次

  • 重要资产 - 被黑可致业务中断,至少每五天评估一次

  • 普通资产 - 工作站、笔记本电脑等通常只有一个用户的资产,至少每10天评估一次

  • 低优先级资产 - 被黑不过造成些许不便的资产,如打印机。

如前文所言,补丁发布节奏也是资产评估时机选择的考虑因素之一。

资产评估类别

随着评估范围增大,需用一系列评估技术覆盖整个公司。扫描通常细分为三类。选用哪类取决于需覆盖的资产。

  • 外部评估或远程检查 - 不登录系统的情况下评估系统的漏洞。这种风格的检查会向目标系统发送数据包,基于回复来确定漏洞状态。

  • 内部评估或本地检查 - 使用凭证登录资产,通过检查文件版本、配置、rpm版本、注册表键等项目来确定系统脆弱状态。此类检查需提升资产上的系统权限方可正确执行。

  • 基于代理的检查 - 有些像是本地检查,但并不登录资产,由代理按一定频率本地执行评估。代理以高权限运行,所以无需管理密码,可有效检查计划扫描时段可能不在网络上的瞬时资产。

这一阶段,漏洞管理项目更加先进,各种指标也建立起来并加以跟踪了。修复补丁被威胁推动到您的环境中。可以使用您的供应商或第三方提供的威胁情报作为修复优先级的判断依据。要记得,不是所有的漏洞都是可利用的;所以,配合资产分类使用该数据来排出修复顺序。

大本营相关指标跟踪

是时候开始跟踪一些项目和环境指标了。这个时候,跟踪这些指标来判断趋势是很有用的。这些东西可在稍后用于扩展漏洞管理项目。大本营应考虑的一些指标是:

整个公司的覆盖率- 公司目前被评估了百分之多少?使用此数据确定怎样合拢差距,确保此百分比不会下滑。

  • 真正关键漏洞的数量 - 这一指标基于前文提到的风险评分。数值评分系统可以创建一条警戒线,超过此分值的漏洞即获得立即修复的优先级。

  • 平均解决时间(MTR) - 修复一个漏洞平均要花多少时间?修复时间是更短了还是更长了?

  • 检测时间 - 新漏洞引入后需多长时间才能发现?比如说,安装新应用程序而引入新漏洞时,此漏洞是否在数分钟、数小时、数天、数周、数月乃至数年内检测出来。

唯有从大本营继续攀登

现在可以欢庆一段时间了。到达ML:3,也就是入驻大本营,可不是什么轻而易举的小事,而是很多公司为之努力许久都未必办到的大事件。此处风景独好,您可以花点时间在此驻留,让公司适应新的策略和标准。攀登过程仍将继续,前路愈加艰险,再出发前请务必保证每个人都做好了准备。

登上VM之巅之七:到达成熟度四层

山路越来越陡峭,但前期辛苦工作也使我们具备了更好的视野和洞察力。在ML:4,所有资产经由代理和远程扫描以正常步调评估。这将产生大量由威胁和补丁优先级确定的数据。

每年有成千上万的新漏洞发布出来,没有哪家公司或产品能够全数检测。公司企业必须优先处理可能具有最大影响的漏洞覆盖。确定优先级时应考虑风险、漏洞利用程序可用性、该应用程序或产品对公司和客户的重要性等。

修复企业环境中的每一个漏洞几乎是不可能的。基于风险程度排序,是从该花费高昂的过程中获得最佳投资回报的最有效方式。风险分类没有明确的业界公认方法,很多SIEM和报告平台尝试以不同方式分类风险。

安全风险是很多因素的集合,包括但不限于下列数据点:

  • 漏洞评分 - 漏洞评分应来自漏洞评估工具,为您提供风险评分基础。评分应是细粒度的,不仅仅粗略分为关键、高风险、中风险和低风险几类。若采用环境相关的短期评分,CVSS评分也有效,但同样的分数往往复现于很多实例,难以差异化结果。没什么比极细粒度评分更棒的了。

  • 漏洞利用程序可用性 - 大多数企业通常不会跟踪漏洞利用程序可用性这样的东西,但有些供应商可以提供该信息。每年只有不到5%的新漏洞有公开可用的漏洞利用程序,但每个漏洞利用程序都可能有多个变体。有公开可用的漏洞利用程序的事实,无疑会大幅增加漏洞的风险。若漏洞利用程序有多个变体,该风险还会倍增。VM产品的漏洞评分应将漏洞利用程序易用性纳入考虑,以便易于利用的漏洞具备更好的基础分。

  • 漏洞利用程序使用情况 - 此数据点通常由另一家供应商提供,某些VM工具也会包含在内。此信息记录漏洞利用程序的流行度,例如:是否添加到了漏洞利用工具包、恶意软件或勒索软件中?攻击中漏洞利用流量是否会被网络传感器拾取?使用的越多,该漏洞利用程序影响公司的概率越大。

  • 资产重要性 - 资产的重要程度因公司而异,其中细节在前文中已描述过,此处不再赘述。

  • 现有缓解措施 - 真正抹消漏洞威胁的唯一方法,就是清除漏洞。但因资源限制、业务需要或时机问题,并非总能清除漏洞。这种情况下,可以实施缓解措施,帮助保护公司环境或资产。从防火墙规则到禁用服务都归属缓解措施之列。尽管应用缓解措施不过是在现实问题上贴张创可贴,但确实能减小总体风险。

监视这些数据点并以之排序工作优先级,可以给出有效的风险评估,从而切实开展ML:4的工作。数据源越多,风险评估粒度越细,但我们可以一点一点积累。修复漏洞可比创建最佳风险评估算法重要得多。

在上一个成熟度层级,我们已经测量了覆盖率、真正关键漏洞、平均解决时间和检测时间等数据点。在ML:4,是时候将它们连同可能疏于分析的其他指标转化为可(至少)每月记录一次的指标了。

  • 评估覆盖率应保持在相当高的水平。如若不然,是出于某些原因而有系统未被评估吗?新系统未做恰当评估就已上线?如果DevOps在公司很普遍,若评估工具未接入CI/CD流水线,短期镜像或容器的使用会毁掉该指标。

  • 现在,使用上文讨论的风险概况就能确定出真正关键的漏洞了。指标应单独记录这些(考虑环境和MTR)。

  • 平均解决时间(MTR)会有波动,因为有些补丁更难应用,且有时还会出现因业务原因而无法实际做出更改的情况。要为这些情况做好计划,围绕供应商发布补丁的时间做规划。(微软每月第二个周二发布补丁,思科每季度发布一次,甲骨文每半年一次,诸如此类。)

  • 若持续监视新系统、CI/CD流水线和升级,检测时间应接近于零。

踏上ML:4的过程必然不会轻松,不断试错才能找到公司正确的风险概况和指标。定义一些东西并跟踪记录3~6个月再按需调整,或许是此行的最佳实践。找到适合公司的方法可能需要多次迭代。但ML:4值得您努力攀登。

登上VM之巅之八:登顶(成熟度五层)

有志者事竟成。只有真正坚持不懈的人,才能登上漏洞管理巅峰。如果没有全面支持漏洞管理项目,投入恰当的资金和人员,公司企业就无法触及漏洞管理巅峰。

达到ML:5意味着将漏洞管理项目与业务绑定。每个人都要符合各项指标,努力找寻出现遗漏的根本原因,以便实施缓解措施,避免将来再出现此类遗漏。

这一层面上,业务一致性是关键,因为如果各团队未就目标达成一致,就会出现很多分歧和相互指责。

例举几个需达成一致的方面:

  • 脆弱资产可接受的风险等级是哪一级?风险等级随资产不同而各异吗?

  • 修复关键漏洞遵从何种服务水平协议 (SLA) ?SLA 随网络、区域或资产使用情况而不同吗?

  • 修复可能影响业务的关键资产漏洞遵循怎样的过程?是否有用于应急变更控制窗口的过程?

  • 允许网络上具有漏洞的新资产的流程如何?怎样评估这些资产?

接下来,执行一致性。

当资产不符合商定的指标和标准时,会发生什么情况?应从网络中删除或隔离资产,直到风险降低到可接受的水平。根据墨菲定律,会出错的事总会出错,事故总会在最坏的时候发生:关键服务器会在季度末最后一天出现新的可利用漏洞,CEO 的笔记本电脑可能会在他出国期间因某些原因而需隔离,或者圣诞节期间曝出零日漏洞。

在此阶段还应实现持续漏洞修复。使用漏洞管理工具中的数据生成工作列表,显示需要修补哪些资产。列表应基于总体风险评分,而不仅仅是基于漏洞得分。风险评分应考虑:

  • 漏洞得分

  • 资产业务影响

  • 漏洞的可利用性

  • 在野漏洞利用

  • 修复难易程度

此列表不应是一万页的超长报告,而应以可用形式呈现。比如,可以采取每周“Top 10”的形式发送给系统拥有者。长长的列表常令人不堪重负,还有可能最后证明只是浪费时间和纸张而已。应限制列表长度,仅包含可以及时修复的条目。

指标遗漏肯定会有,也要遵从 SLA,所以重点应放在漏洞根本成因,以及可以实施哪些建设性变更改善漏洞管理过程上。得到业务的全面支持,可以提高漏洞根本成因分析会议的效率,减少相互指责。

登上漏洞管理之巅并非易事,途中遭遇挫折是常态。虽然目标应是登顶,但并没有确定的时间表。

有些公司企业从未登顶,但接受漏洞管理停留在较低水平的风险。

有时候可能需要根据业务实际情况调整漏洞管理目标,但您可以决定这些目标是暂时的还是永久性的。如果是暂时的,那可以设置回顾时间表,防止永久停留在那个目标层次上。

有些公司企业发现,攀登漏洞管理山峰并不是他们有技术、有人力去尝试的事,甚至不是他们想要尝试的事。

在这些情况下,将工作外包给可信安全顾问,是以较少资源投入获得安全回报的好方法。供应商应评估当前情况,提供特定于公司的路线图和指南。优秀的供应商应了解这一过程,监控其间风险,提供可操作的产出,创建并培育良好的漏洞管理项目。

漏洞管理计划是公司整体安全计划的一部分。应定期执行此安全计划。每季度一次,召集各团队一起进行桌面演练。设立反映现实情况的虚构场景,确保所有团队和过程协同工作。

记住,无限风光在险峰,越难攀登,登顶后的风景越好!

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。