摘要:在面對軟體和硬體產品漏洞激增的情況下,企業或團隊需構建成熟的漏洞管理程序以應對網路威脅。
過去的兩年中,軟體和硬體產品公開漏洞激增,顯著增加了網路安全團隊優先處理補丁管理的難度,對此,Axonius高級銷售工程師Jon Ridyard在Infosecurity Europe 2025大會上發表演講,提出了構建成熟漏洞管理流程,並避免團隊倦怠的七個最佳實踐。
一.整合CTEM概念
Jon Ridyard強調漏洞管理不應被視為有結束日期的臨時項目,而應被視作一個持續過程。他主張將持續威脅暴露管理(CTEM)理念融入該流程,要求團隊通過定期的漏洞模擬、攻擊路徑分析以及自動化測試進行循環評估。Ridyard特別指出:"團隊不應該僅僅被動響應高危CVE或掃描後的單獨事件。"
二. 制定管理矩陣
Ridyard表示,技術評分(如CVSS)雖具參考價值,但因缺乏上下文而存在缺陷,它既無法識別企業特有的安全狀況與業務風險向量,也難以向利益相關者有效傳達風險。為此,他建議根據三類數據,制定一個針對公司的漏洞和補丁管理矩陣,其中包含不同級別的風險優先順序(例如緊急、高、中、低、豁免):
安全:CVE條目和CVSS分數
資產:包括生產環境(內部部署、端點上、雲環境中)、端點保護狀態和公共利用狀態等考慮因素
業務:以考慮潛在開發的更廣泛的業務影響
三.漏洞分類:人機協同
從業者建立了一個矩陣來依賴修復後,他們仍然需要對檢測到的漏洞進行分類,並對漏洞進行優先順序排序。為了簡化這個過程,Ridyard建議使用手動分類方法和自動化相結合的方法,自動化工具負責收集漏洞基礎信息(如CVE標識符、CVSS及EPSS分數等"明顯信息"),而人工判斷則專註於複雜決策。
四.補救:為自動解決添加邏輯
Ridyard建議自動化修復過程的某些方面,包括修復漏洞和應用補償或減輕控制。同時強調:"補救絕非簡單開關,需構建決策邏輯以確定何時觸發自動化流程。
五. 動員:使協作正規化和趣味化
由於漏洞管理可能涉及組織內不同團隊的人員,Ridyard提倡正式的協作,並建立明確的規則,規定誰對什麼負責。他建議嘗試趣味化補丁管理,例如以友好競爭的形式,作為激勵合作的好方法。他解釋說:「通過這樣做,你將把修補漏洞的苦差事變成一項有趣的活動。」
六. 指標:設定並溝通期望
建立健康的漏洞管理流程的另一個關鍵因素是設置。根據分配給安全團隊的預算,以保護級別協議(PLAs)的形式,與董事會和整個業務部門達成期望。Ridyard說:「例如,如果給我1萬美元的預算,讓我同意在7天內修補某個類別的漏洞,那麼拖延就意味著我無法滿足客戶的要求,如果因此發生了什麼不好的事情,我可能要承擔責任。」
七. 授權:授權您的安全從業人員
最後,Ridyard強調了授權安全團隊成員的必要性,這樣他們才會覺得自己在做有意義的工作。「要積極主動,鼓勵創新,」他總結道。
