幾乎可以說，網(wǎng)絡(luò)安全的世界，沒有漏洞就沒有威脅。

漏洞管理是企業(yè)網(wǎng)絡(luò)安全管理中最基礎(chǔ)的工作，但說起漏洞管理，卻幾乎是每個CISO的心頭之痛。

一、漏洞管理痛點

1、更新慢

目前主流的漏洞掃描產(chǎn)品廠商，一般每 1~2 周更新一次漏洞掃描特征庫，管理到位的企業(yè)能夠及時連接漏洞庫對產(chǎn)品升級，更多的企業(yè)可能在廠商漏洞庫更新后很久都不能做到及時升級，所以漏洞掃描產(chǎn)品往往更新滯后。

2、檢測慢

在安全公司Tripwire最近的一份網(wǎng)絡(luò)健康狀態(tài)調(diào)查中，80%的受訪者稱自家企業(yè)有漏洞掃描計劃。約60%的受訪者每天或每周進行一次掃描，40%的受訪者表示每月、每季度或更長時間才掃描一次。有趣的是，僅一半的受訪者稱自家公司會進行經(jīng)驗證的掃描。另外，很多企業(yè)的漏洞掃描計劃從提出到層層審批，再到實施也需要經(jīng)歷較長的審批流程。

3、處理慢

漏洞處置與漏洞檢測一樣，需要耗費較長時間。SolarWinds MSP曾經(jīng)做過一次調(diào)研，結(jié)論是“修補一個嚴(yán)重的Web應(yīng)用程序漏洞平均需要多達69天的時間，而針對內(nèi)部網(wǎng)絡(luò)的類似漏洞則平均需要 65 天的時間。”

漏洞能夠管理項目如何晉級？什么樣的漏洞管理模式才算成熟？

二、漏洞管理的五個階段

著名Tripwire給出了答案，Tripwire基于CMM將漏洞管理分為五個成熟度階段，這五個成熟度階段為企業(yè)漏洞管理提供了晉級路線圖，可以幫助公司企業(yè)更好地了解自身漏洞管理項目與既定目標(biāo)之間的差距，方便找出實現(xiàn)安全項目目標(biāo)的辦法。

1、初始階段

處在這一階段的公司企業(yè)要么沒有任何漏洞管理措施，要么只做臨時性的測試。

2、已管理階段

處于這個階段的企業(yè)可以自發(fā)在內(nèi)部開展漏洞掃描工作，每周或者每月固定開展，但是往往是為了應(yīng)對外部監(jiān)管。

3、已定義階段

該階段的漏洞管理工作為公司所理解，也受到管理層的一定支持，漏洞掃描更為頻繁。

4、量化管理階段

處在這一階段的公司企業(yè)有可量化、可度量的指標(biāo)，定義可接受的風(fēng)險水平。

5、優(yōu)化管理階段

在這一階段，使用第四階段定義的度量指標(biāo)用實現(xiàn)管理提升和優(yōu)化，所有的優(yōu)化指標(biāo)都用于減少組織的受攻擊面。

對照這五個階段可以看出，大多數(shù)企業(yè)往往處于成熟度的第二個或者第三個階段。

三、漏洞管理的建議

1、贏得高層支持 

高層的態(tài)度對于漏洞管理項目來說意義重大，你的項目計劃能贏得領(lǐng)導(dǎo)多大程度 的支持，很大一部分取決于你的表達能力和項目本身效果 的“可視化”程度。如果成敗的價值差異或者嚴(yán)重程度不足以打動領(lǐng)導(dǎo)，那么你的預(yù)算自然也是可有可無。 

2、高頻掃描

高頻掃描不是連續(xù)掃描，它的目的是為了及時發(fā)現(xiàn)新的漏洞，要注意和漏洞補救工作相配合。如果修復(fù)節(jié)奏是每月一次，那么每天掃描也無助于改善結(jié)果。理想的狀態(tài)是掃描頻率與修復(fù)節(jié)奏同步，而且在變更時能夠自動執(zhí)行掃描。

3、指標(biāo)量化

提出漏洞管理的量化指標(biāo)，比如掃描頻率、掃描比率、漏洞修復(fù)時長、漏洞修復(fù)比率。量化的指標(biāo)要根據(jù)企業(yè)實際情況制定，給漏洞管理人員指明目標(biāo)。

4、融合業(yè)務(wù)

漏洞威脅不是孤立的，網(wǎng)絡(luò)安全工作要緊跟業(yè)務(wù)，緊緊圍繞業(yè)務(wù)需要，核心業(yè)務(wù)系統(tǒng)的輕微漏洞一定比一臺置于倉庫的破舊打印機的嚴(yán)重漏洞要重要的多。

四、結(jié)束語

萬物互聯(lián)時代到來，網(wǎng)絡(luò)安全漏洞的數(shù)量將呈幾何數(shù)量級增長，隨著等級保護2.0的推進，2019年國家《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》發(fā)布，2020年正式稿呼之欲出。漏洞管理作為網(wǎng)絡(luò)安全防護中最基礎(chǔ)，最重要的一個環(huán)節(jié)時刻不能放松。