网络安全和风险领导者应该将漏洞管理实践与其组织的特定需求系起来,而不是一个神话般的标准。虽然在三天内修补一家大型国际银行的所有Windows系统在技术上是可能的,但随后的业务中断很可能会使这成为一个不可行的解决方案。
那么问题就变成了,修复和解决安全漏洞的现实时间框架是什么?
一家瑞士银行、一家英国零售商和一家机构都会给出截然不同的答案——因为每个组织的威胁形势完全不同。
不幸的是,公认的漏洞修复时间框架“行业标准”很少考虑组织特定的限制、技术共存的考虑、内部政策或外部合规性要求。
现实要微妙得多。
重要的是将“平台是否打补丁”转变为“平台漏洞的特定风险是否已得到充分缓解”。
为实现这一目标,组织必须采用更加结构化的基于风险和事实的方法来管理漏洞,作为整体安全计划的一部分。
漏洞管理的速度有多快?
仅报告漏洞的数量就意味着组织面临着以适当、及时的方式解决和修改漏洞的挑战。
根据漏洞被利用的速度,组织需要具备在供应商发布补丁以解决漏洞后数小时内对关键系统实施紧急修复的能力——此外还需要大量投资于缓解措施。完善修复流程的成熟度对于在数周内(而不是数月或数年)内实现所有系统类型的非紧急修复也至关重要。
四个最佳实践可以实施有效的修复时间框架:
1.使漏洞管理与风险偏好保持一致
组织对修补或补偿漏洞的速度有一个上限。该上限取决于每家公司对运营风险的偏好、IT运营能力/能力以及在尝试修复易受攻击的技术平台时吸收中断的能力。
安全领导者可以通过评估特定用例、衡量特定风险或逐个风险的运营风险偏好以及确定补救能力和限制,使漏洞管理实践与其组织的需求和要求保持一致。
2.根据风险对漏洞进行优先级排序
组织必须基于漏洞的严重性、当前的利用活动、业务关键性和受影响系统的暴露等考虑因素,应用全面的、基于风险的漏洞优先级。
您可以做出的最大改变之一是关注在野外被利用的漏洞。这应该是首要目标,并将确保快速有效地解决最大的风险。
3.结合补偿控制和修复解决方案
公司可以通过合并可以实现虚拟修补的补偿控制(例如入侵检测和预防系统以及Web应用程序防火墙与修补管理工具等补救解决方案)来更有效地减少攻击面,同时对组织的运营影响更小。更新的技术,包括漏洞和攻击模拟(BAS)工具,还可以深入了解您当前的安全技术是如何配置的,以及它们是否能够保护您免受类似于勒索软件的各种威胁。
如果供应商尚未提供补丁,则对系统进行补丁根本不可行,并且由于软件兼容性等其他原因不再支持该系统。需要注意的是,高度监管的行业通常有一些强制要求,可能会限制您执行修补等功能的能力。
然而,修补并不是一切:它很难,它会破坏事物,并且需要时间。因此,制定B计划很重要——你的箭袋中需要更多的箭头,而不仅仅是修补。
如果您的漏洞管理程序做得更好,您就可以大大减少攻击面。这使您可以为试图在您的环境中获得影响力的威胁参与者提供更难的目标。这就是为什么它如此重要。
4.使用技术自动化漏洞分析
通过采用可自动化漏洞分析的技术,您可以提高修复窗口和效率。
评估您当前的漏洞评估解决方案并确保它们支持您环境中更新的资产类型(如云、容器和网络物理系统)也很重要。如果不是,请增加或更换解决方案。
免责声明:本文由用户上传,如有侵权请联系删除!
