解析漏洞管理的五個階段

摘要： 在組織內部建立良好的資訊保安計劃的關鍵，是要擁有一個良好的漏洞管理計劃。大多數（如果不是全部的話）監管政策和資訊保安框架都建議，將強大的漏洞管理計劃作為組織在構建其資訊保安計劃時應該做的第一件事。網際網路安全中心也特別將其列為“Top 20 CIS控制”中的第三名。 多年來，我看...

在組織內部建立良好的資訊保安計劃的關鍵，是要擁有一個良好的漏洞管理計劃。大多數（如果不是全部的話）監管政策和資訊保安框架都建議，將強大的漏洞管理計劃作為組織在構建其資訊保安計劃時應該做的第一件事。網際網路安全中心也特別將其列為“Top 20 CIS控制”中的第三名。

多年來，我看到過各種不同的漏洞管理計劃，並與許多在VM程式中具有不同成熟度的公司合作。本文將概述基於能力成熟度模型（CMM）的五個成熟階段，來讓您瞭解如何使您的組織更上一層樓，達到下一個成熟度階段。

什麼是能力成熟度模型（CMM）？

CMM是一種模型，可幫助以漸進和可定義的方法來開發和優化流程。有關該模型的更多詳細資訊，請點此 連結 查詢。以下為CMM的五個階段：

第1階段：初始

在漏洞管理計劃的初始階段，通常沒有或只有很少的流程和程式。漏洞掃描由第三方供應商完成，作為 滲透測試 或外部掃描的一部分。根據稽核員或相關監管要求，這些掃描通常每年進行一到四次。

執行漏洞掃描的供應商將提供組織內漏洞的報告。然後，組織通常會修復所有嚴重或高危級別的漏洞，以確保自身保持合規性。一旦取得及格分數，剩下的資訊就會被歸檔處理。

正如我們在過去幾年中所看到的那樣，安全性不能僅僅被視為合規性的複選框（checkbox）。如果您仍處於這一階段，那麼您可能會成為攻擊者的主要目標。如果您尚未開始能力成熟度模型，那麼建議您儘快完全這第一階段。

第2階段：管理

在漏洞管理程式的管理階段，漏洞掃描是在內部進行的。組織內部定義了一組漏洞掃描程式。他們會購買一個漏洞管理解決方案，並開始每週或每月掃描一次。在執行未經身份驗證的漏洞掃描時，安全管理員會從外部角度檢視漏洞。

在這個階段，我看到的大多陣列織都沒有得到高層管理人員的支援，因此掌握的預算也就十分有限。這導致組織只能去購買相對便宜的解決方案，或使用免費的開源漏洞掃描程式。雖然低端解決方案確實提供了基本的掃描功能，但它們的資料收集、業務環境和自動化的可靠性也會受到限制。

使用低端解決方案可能會出現不同的問題。首先是漏洞報告的準確性和優先順序。如果您向系統管理員傳送包含大量誤報的報告，您將立即失去他們的信任。因為他們和其他所有人一樣，工作非常忙碌，所以他們希望能夠有效地、最大限度地利用自己的時間。由此，可靠準確的報告對於確保及時進行補救至關重要。

第二個問題是，即便驗證了漏洞確實是易受攻擊的，又將如何確定哪些漏洞應該優先進行修復呢？大多數解決方案會按高，中，低或1-10分來分類評級。由於系統管理員擁有的資源有限，他們一次只能修復幾個漏洞。他們如何確定哪個“高”更高？哪個10分更為緊迫？如果沒有適當的優先順序，這可能是一項艱鉅的任務。當然，諸如CVSS之類的行業標準對於 共同的通訊機制 是有必要的。除此之外，能夠優先排序則提供了巨大的價值。

第3階段：定義

在漏洞管理計劃的定義階段，整個過程和程式都已經具備了良好的特徵，且在整個組織中得到了很好的理解。資訊保安團隊也已經得到了執行管理層的支援以及系統管理員的信任。

在此階段中，資訊保安團隊也已經證明，他們選擇的漏洞管理解決方案對於在組織的網路上進行掃描是可靠且安全的。根據 網際網路安全中心的 建議，經過身份驗證的漏洞掃描至少每週執行一次，並將特定於受眾的報告傳遞到組織中的各個級別。系統管理員會收到特定的漏洞報告，而管理層則會收到漏洞風險趨勢報告。

此外，將漏洞管理狀態資料與 資訊保安生態系統 的其餘部分進行共享，可以為資訊保安團隊提供可操作的情報。例如，如果在外部防火牆上檢測到漏洞，則可以在安全事件和事件管理（ SIEM ）工具中執行快速關聯，以確定哪些系統易受該漏洞攻擊。

我發現，目前大多陣列織都介於“第二階段”（管理）和“第三階段”（定義）之間。如上所述，一個非常常見的問題是如何獲得系統管理員的信任。如果最初選擇的解決方案不符合組織的要求，則很難重新獲得信任。

第4階段：量化管理

在漏洞管理程式的定量管理階段，程式的特定屬性是可量化的，並且向管理團隊提供度量標準。以下是每個組織應跟蹤的一些漏洞度量標準：

近期組織的漏洞管理系統未掃描的組織業務系統的百分比是多少？

每個組織的業務系統的平均漏洞分數是多少？

每個組織的業務系統的漏洞總分是多少？

平均而言，將作業系統軟體更新完全部署到業務系統中需要多長時間？

平均而言，將應用程式軟體更新完全部署到業務系統中需要多長時間？

這些指標可以進行整體檢視，也可以按各個業務部門進行細分，以檢視哪些業務部門正在降低風險，哪些業務部門處於比較落後的狀態。

第五階段：優化

在漏洞管理程式的優化階段，前一階段定義的度量標準旨在進行改進。優化每個指標將確保漏洞管理程式不斷減少組織的攻擊面。資訊保安團隊應該與管理團隊合作，為漏洞管理計劃設定可實現的目標。一旦達到這些目標，就可以設定新的、更積極的目標，以實現持續的流程改進。

漏洞管理與資產發現相結合，佔據了“Top 20 CIS控制”的 前三名 。因此，確保漏洞管理計劃的持續成熟是減少組織攻擊面的關鍵。如果我們每個人都可以減少攻擊面，我們可以讓這個網路世界更安全！

關於“Top 20 CIS控制”