可见可用可考量企业高效漏洞管理的目标与达成

发布时间：2022-06-09 15:49 所属栏目：53 来源：互联网

导读：随着企业数字化的深入推进，今天的企业组织已经普遍认知到解决IT环境中漏洞威胁的重要性，但许多企业仍然缺乏科学有效的漏洞管理计划与能力。网络安全培训和认证机构SANS研究所进行的一项调查发现，超过39%的受访企业在面对网络漏洞风险时，要么只有非正式的

　　随着企业数字化的深入推进，今天的企业组织已经普遍认知到解决IT环境中漏洞威胁的重要性，但许多企业仍然缺乏科学有效的漏洞管理计划与能力。网络安全培训和认证机构SANS研究所进行的一项调查发现，超过39%的受访企业在面对网络漏洞风险时，要么只有非正式的处理手段，要么根本没有任何计划。

　　对于企业安全团队，可以通过一套漏洞管理成熟度模型来衡量企业组织目前的漏洞管理水平：

　　1. 初始阶段
　　处在这一阶段的公司企业要么没有任何漏洞管理措施，要么只做临时性的测试。

　　2. 已管理阶段
　　处于这个阶段的企业可以自发在内部开展漏洞扫描工作，每周或者每月固定开展，但是往往是为了应对外部监管。

　　3. 已定义阶段
　　该阶段的漏洞管理工作为公司所理解，也受到公司管理层的一定支持，漏洞扫描更为频繁，但是专业工具应用还比较有限。

　　对于企业 CSO 和 CIO 来说，在投资或者选择新的漏洞管理或脆弱性风险管理相关工具产品和方案之前，都首先需要明确一点，你如何判断漏洞管理项目的有效性?如何成功实施漏洞管理项目?很多时候，漏洞管理不仅仅是一个技术问题而是企业综合管理问题，它应该是程序化的，包含计划、行动、协同、问责和持续改进。以下梳理总结了企业开展高效漏洞管理的12个步骤与建议：

　　1. 组建可信赖的专业安全团队
　　开展有效的漏洞管理涉及多个方面，从定期的渗透测试到全面的企业漏洞管理，任何一个疏漏都可能导致危害发生。因此，需要一个专业、可靠的安全团队来进行保障。在这个安全团队中，除了要配置负责漏洞管理及修补的安全分析师，还要涵盖其他业务利益相关者，例如数字化业务部门的员工，他们可以说明在对业务系统进行处置时，企业组织可能面临的影响，这样团队可以更好地制定并实施漏洞管理工作计划。

　　2. 以全面的资产发现为基础
　　对于企业组织的安全团队而言，掌握最新的IT资产清单是开展有效漏洞管理计划的基础要求，这已经成为共识，但实践起来却非常困难。尤其是在当今的企业环境中，物理设备、远程终端、物联网组件、云服务、软件即服务(SaaS)和开源代码组件等大量系统和应用充斥其中，想要获取一份全面并能及时更新的资产清单非常困难。虽然实践难度大，但这一切都是必须考虑并实现的。

　　3. 提升网络可见性
　　有了全面的资产清单，下一步行动就是要通过了解企业IT环境的互连性、数据流动和集成环境来大力追求网络的可见性。对漏洞管理范围的任何限制都会增加可见性风险。因此，必须将资产发现作为任何漏洞管理程序的核心组件。如果漏洞管理项目未能覆盖某些资产或特定业务领域，那么它在降低风险方面的效用也会大打折扣，因为相比已知威胁，防范未知风险的挑战会更大。同样，如果资产发现不是连续或者高频的，也会存在过时或失真风险。

（编辑：ASP站长网）

可见 可用 可考量 企业高效漏洞管理的目标与达成

可见可用可考量企业高效漏洞管理的目标与达成