摘要:大量未修补的漏洞使组织容易受到破坏性的破坏,负责任的方法对于让企业站稳脚跟至关重要。 |
困扰企业的最大网络安全问题不是意识到自己的漏洞,而是采取了相应的措施。安全部门的领导人被大量未处理的积压案件压得喘不过气来。
如果没有适当的工具和资源,这些漏洞就无法修补或解决,从而为网络攻击敞开大门。一个恰当的例子是:对于57%的网络攻击受害者来说,安装可用的补丁可以防止漏洞——值得注意的是,34%的人知道这个漏洞,但没有采取任何行动,只是因为他们想避免工作流程中断。
这个问题的核心是一种传统的、被动的方法来堵塞安全漏洞,再加上资源短缺,这使得漏洞的扩散速度超过了团队的控制能力。知道自己有弱点是一回事;能够有效地修补或修复它是另一回事。为了控制漏洞的传播,组织需要采用一种强大的方法来管理漏洞。
动态漏洞管理
在当今的威胁形势下,组织无法承担被动应对的代价。专注于保护关键系统的蓝色团队必须始终保持准确——毕竟,攻击者只需要找到一个漏洞就可以进入您的网络。
相关:如何让IT和安全团队有效地协同工作
虽然说起来容易做起来难,但这个四点计划概述了组织如何通过漏洞管理程序取得成功。
1.识别威胁
在安全风险被利用之前检测它们,首先要对组织自身的防御能力进行清晰的评估。在自动扫描工具的帮助下,组织可以识别薄弱或缺失的身份验证实践、过时的软件和硬件以及不安全的网络配置。
经过身份验证的扫描提供了关于高风险漏洞的更准确的信息,消除了许多误报。这些可以与外部威胁的分析相结合,例如黑客、恶意行为者和恶意软件,这些威胁在网络环境中很活跃。
2.风险评估和优先排序
一旦确定了威胁,就必须根据它们构成的业务和技术风险对它们进行优先级排序。
快速评估有助于识别和优先处理敏感信息的潜在风险,使组织能够防止未经授权的访问、网络安全威胁和知识产权盗窃。通过这个过程,团队测量由漏洞造成的风险,比较它们的相对威胁级别,以确定解决漏洞的最佳行动方案以及解决漏洞的顺序。
相关:网络安全威胁演变的11种方式
漏洞的优先级可以根据您的组织所处的行业或漏洞存在的系统而变化。例如,假设一个零售商有一个XSS漏洞,允许攻击者将恶意脚本注入其博客的评论部分,从而将用户重定向到网络钓鱼站点。虽然这是有问题的,但如果零售商有强有力的缓解措施,这个漏洞可能被认为是低风险的,因为几乎没有财务或隐私风险。
但是,如果在金融服务公司的网上银行系统中发现此漏洞,则优先级将高得多。同样的漏洞利用将允许攻击者潜在地窃取会话令牌、拦截事务或代表用户执行未经授权的操作。这可能会导致财务盗窃,并对公司的信任和声誉造成重大损失。
一旦确定了潜在的风险和威胁,组织就必须确定适当的安全控制来缓解它们,包括实现加密、访问控制措施、防火墙、入侵防御系统等等。
相关:2023年网络风险和弹性报告:首席信息官如何在2023年与灾难作斗争
定期进行这些评估并采取纠正措施,至少每六个月一次,是一个良好的开端。然而,重要的是要明白风险评估是一个持续的过程;扫描环境中的风险是在一个时间点完成的事件,并且只会在那一刻捕获风险。漏洞是不断发展的,不良行为者不仅仅是朝九晚五,这意味着进行评估应该是安全团队的日常流程。每日风险评估确保团队在任何给定时间都能够持续了解其业务的安全状态和漏洞风险。
3.补救和应对
一旦漏洞被识别并确定优先级,这些安全漏洞——无论是未修补的漏洞,不受支持的硬件或软件,还是零日漏洞——必须迅速关闭。补救可能涉及应用补丁和补偿控制、更改配置,甚至从网络中删除受损的元素。
在处理补救和响应时,要遵循的基本原则是“信任,但要验证”。安全团队必须从头到尾测试系统,以确保新的升级、补丁或补偿安全控制不会破坏业务流程。问问你自己,我是否一直在测试系统?我是否尽我所能确保这些修复程序不会像漏洞那样造成那么大的伤害?
4.持续改进
保护网络是没有终点的。在修复漏洞之后,团队必须进行全面的测试,以验证所有漏洞都已成功地缓解,并确保系统按预期运行。
他们还需要记录和报告漏洞和补救措施的状态,以确保合规性,这一点至关重要,特别是在金融服务、医疗保健和政府等受监管的行业中。跟踪指标以确定趋势还可以帮助确定改进流程的方法。
网络威胁形势发展太快,组织无法通过被动的方法来迎头赶上。安全领导需要被安全驱动。建立风险管理框架,进行定期评估,修复缺陷,并使其成为一个持续的,可重复的过程,包括验证和测试,这是保护组织最有价值的资产,同时避免代价高昂和破坏性数据泄露的关键。
编辑:Harris