调查：如何实施安全问题修复生命周期

安全从业人员都知道，根据各种安全扫描工具的结果修复风险是件极为繁琐的多步骤劳动密集型工作，需要专注去重、排列优先级和将问题交付公司里恰当的“问题解决人员”。安全团队已然人手不足，再背上这种负担，就更别谈什么效率了。

近期，网络安全和生产力平台Seemplicity委托知名网络安全新闻网站Dark Reading进行了一项调研，给安全专业人员如何处理从发现问题到解决问题这一修复生命周期中的种种挑战带来了一些新的见解。研究揭示了安全人员在协调修复活动时面临的一些阻碍，也暴露出了修复时间过长、人工流程低效无序、整个风险生命周期中缺乏管理可见性和监督所造成的工作量增加和风险态势削弱的后果。

分步修复流程及各步骤耗时

调研囊括了108位网络安全专业人员，均来自员工人数不低于100人的中型企业。调研发现：

•从开始到结束，修复严重安全风险总共需要近4周时间。深入审视这一端到端风险降低过程就会发现，修复生命周期始终以周计而非以日计。

•企业管理的安全工具数量平均在3到5个之间，增加修复复杂度的同时还延缓了修复进程。数据显示，手动任务和来自不同扫描工具的多个馈送源共同拖慢了修复速度。

•49%的安全专业人员不知道该联系谁去修复风险或验证修复方案。找到正确的问题解决人员、获得对修复请求的响应，以及验证修复是否成功，是大多数企业最耗费时间的事项。

•如果能够高效修复，97%的安全专业人员会专注于主动安全任务。受访者称，如果有更好更快的方法修复风险，他们会把赢得的时间花在前瞻性活动上，比如额外的架构审查、威胁建模和安全意识培训。

若说研究中有什么主题是重复出现的，那就是大多数企业不同团队间安全工具和手动任务过多阻碍了降低风险和修复工作的步伐。

这项研究专注“风险修复状况”，为提高修复效率、增强组织防御、降低风险和维持安全团队正常运转提供了路线图。

报告还强调了改善风险降低工作的三个关键步骤：

1、自动化风险降低工作流程，从而让安全团队能够专注战略性安全举措。在修复过程的每个阶段和不同扫描工具和管理平台上采用合适的自动化技术可以释放团队战力，让团队能够专注于更具战略性的安全计划，同时提高修复效率和绩效。

2、承认风险修复有很多灵活机动的部分有助于改善修复效果。有效优先级排序和能在一张修复工单上聚合类似问题，是令风险修复工作易于管理的关键环节。

3、风险降低工作流程需要特定安全知识。自动化风险修复工作流程的有效性取决于其所基于的安全专业知识。

调研报告《2023年风险降低状况：需要速度》

https://seemplicity.io/papers/the-2023-state-of-risk-reduction-a-need-for-speed/

* 本文为nana编译，原文地址：https://thehackernews.com/2023/08/survey-provides-takeaways-for-security.html

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。