幾乎可以說，網(wǎng)絡(luò)安全的世界，沒有漏洞就沒有威脅。

漏洞管理是企業(yè)網(wǎng)絡(luò)安全管理中最基礎(chǔ)的工作，但說起漏洞管理，卻幾乎是每個(gè)CISO的心頭之痛。

一、漏洞管理痛點(diǎn)

1、更新慢

目前主流的漏洞掃描產(chǎn)品廠商，一般每 1~2 周更新一次漏洞掃描特征庫，管理到位的企業(yè)能夠及時(shí)連接漏洞庫對(duì)產(chǎn)品升級(jí)，更多的企業(yè)可能在廠商漏洞庫更新后很久都不能做到及時(shí)升級(jí)，所以漏洞掃描產(chǎn)品往往更新滯后。

2、檢測(cè)慢

在安全公司Tripwire最近的一份網(wǎng)絡(luò)健康狀態(tài)調(diào)查中，80%的受訪者稱自家企業(yè)有漏洞掃描計(jì)劃。約60%的受訪者每天或每周進(jìn)行一次掃描，40%的受訪者表示每月、每季度或更長(zhǎng)時(shí)間才掃描一次。有趣的是，僅一半的受訪者稱自家公司會(huì)進(jìn)行經(jīng)驗(yàn)證的掃描。另外，很多企業(yè)的漏洞掃描計(jì)劃從提出到層層審批，再到實(shí)施也需要經(jīng)歷較長(zhǎng)的審批流程。

3、處理慢

漏洞處置與漏洞檢測(cè)一樣，需要耗費(fèi)較長(zhǎng)時(shí)間。SolarWinds MSP曾經(jīng)做過一次調(diào)研，結(jié)論是“修補(bǔ)一個(gè)嚴(yán)重的Web應(yīng)用程序漏洞平均需要多達(dá)69天的時(shí)間，而針對(duì)內(nèi)部網(wǎng)絡(luò)的類似漏洞則平均需要 65 天的時(shí)間?！?/p>

漏洞能夠管理項(xiàng)目如何晉級(jí)？什么樣的漏洞管理模式才算成熟？

二、漏洞管理的五個(gè)階段

著名Tripwire給出了答案，Tripwire基于CMM將漏洞管理分為五個(gè)成熟度階段，這五個(gè)成熟度階段為企業(yè)漏洞管理提供了晉級(jí)路線圖，可以幫助公司企業(yè)更好地了解自身漏洞管理項(xiàng)目與既定目標(biāo)之間的差距，方便找出實(shí)現(xiàn)安全項(xiàng)目目標(biāo)的辦法。

1、初始階段

處在這一階段的公司企業(yè)要么沒有任何漏洞管理措施，要么只做臨時(shí)性的測(cè)試。

2、已管理階段

處于這個(gè)階段的企業(yè)可以自發(fā)在內(nèi)部開展漏洞掃描工作，每周或者每月固定開展，但是往往是為了應(yīng)對(duì)外部監(jiān)管。

3、已定義階段

該階段的漏洞管理工作為公司所理解，也受到管理層的一定支持，漏洞掃描更為頻繁。

4、量化管理階段

處在這一階段的公司企業(yè)有可量化、可度量的指標(biāo)，定義可接受的風(fēng)險(xiǎn)水平。

5、優(yōu)化管理階段

在這一階段，使用第四階段定義的度量指標(biāo)用實(shí)現(xiàn)管理提升和優(yōu)化，所有的優(yōu)化指標(biāo)都用于減少組織的受攻擊面。

對(duì)照這五個(gè)階段可以看出，大多數(shù)企業(yè)往往處于成熟度的第二個(gè)或者第三個(gè)階段。

三、漏洞管理的建議

1、贏得高層支持 

高層的態(tài)度對(duì)于漏洞管理項(xiàng)目來說意義重大，你的項(xiàng)目計(jì)劃能贏得領(lǐng)導(dǎo)多大程度 的支持，很大一部分取決于你的表達(dá)能力和項(xiàng)目本身效果 的“可視化”程度。如果成敗的價(jià)值差異或者嚴(yán)重程度不足以打動(dòng)領(lǐng)導(dǎo)，那么你的預(yù)算自然也是可有可無。 

2、高頻掃描

高頻掃描不是連續(xù)掃描，它的目的是為了及時(shí)發(fā)現(xiàn)新的漏洞，要注意和漏洞補(bǔ)救工作相配合。如果修復(fù)節(jié)奏是每月一次，那么每天掃描也無助于改善結(jié)果。理想的狀態(tài)是掃描頻率與修復(fù)節(jié)奏同步，而且在變更時(shí)能夠自動(dòng)執(zhí)行掃描。

3、指標(biāo)量化

提出漏洞管理的量化指標(biāo)，比如掃描頻率、掃描比率、漏洞修復(fù)時(shí)長(zhǎng)、漏洞修復(fù)比率。量化的指標(biāo)要根據(jù)企業(yè)實(shí)際情況制定，給漏洞管理人員指明目標(biāo)。

4、融合業(yè)務(wù)

漏洞威脅不是孤立的，網(wǎng)絡(luò)安全工作要緊跟業(yè)務(wù)，緊緊圍繞業(yè)務(wù)需要，核心業(yè)務(wù)系統(tǒng)的輕微漏洞一定比一臺(tái)置于倉庫的破舊打印機(jī)的嚴(yán)重漏洞要重要的多。

四、結(jié)束語

萬物互聯(lián)時(shí)代到來，網(wǎng)絡(luò)安全漏洞的數(shù)量將呈幾何數(shù)量級(jí)增長(zhǎng)，隨著等級(jí)保護(hù)2.0的推進(jìn)，2019年國家《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》發(fā)布，2020年正式稿呼之欲出。漏洞管理作為網(wǎng)絡(luò)安全防護(hù)中最基礎(chǔ)，最重要的一個(gè)環(huán)節(jié)時(shí)刻不能放松。