未能有效管理網(wǎng)絡漏洞的后果從未如此嚴重。一次數(shù)據(jù)泄露可能導致嚴重的聲譽和財務損失，而且泄露的數(shù)量每年都在不斷增加，而且沒有失敗。確實，漏洞管理已經(jīng)不再只是另一種IT支出——它應該是一個關鍵的業(yè)務目標。

　　疫情給信息安全專業(yè)人員帶來了巨大壓力。隨著網(wǎng)絡安全預算緊張，數(shù)以百萬計的員工已經(jīng)全職或兼職轉向遠程辦公，現(xiàn)在越來越復雜的威脅形勢對未來提出了更加可怕的挑戰(zhàn)。

　　組織在漏洞管理方面哪里出了問題?

　　從一開始，太多組織對漏洞管理的含義就已經(jīng)過時了。不僅僅是掃描您的網(wǎng)絡是否存在威脅。

　　漏洞管理的整體方法包括識別、報告、評估和確定暴露的優(yōu)先級。至關重要的是，它還涉及風險背景。漏洞管理的綜合方法不是僅僅掃描安全漏洞，而是向您展示如何利用這些漏洞以及可能發(fā)生的后果。

　　準確地說，漏洞管理——當正確執(zhí)行時——采用全局方法，其中所有方面協(xié)調工作，以降低關鍵業(yè)務資產(chǎn)的風險。這是我們都應該為之奮斗的目標。

　　但即使你從正確的首要原則開始，在實施時你仍然可能失敗。考慮到這一點，下面我們重點介紹了組織在管理漏洞時面臨的三個最重要的問題。

　　1.未能正確確定威脅的優(yōu)先級

　　無法正確排列暴露是組織目前在漏洞管理環(huán)境中面臨的最具破壞性的問題之一。太多組織通過掃描識別安全漏洞，然后直接進入修復階段。在某種程度上，這種緊迫性是可以理解的。然而，歸根結底，它是短視的，會帶來更大的風險。

　　聰明的組織將大量注意力集中在漏洞管理的優(yōu)先級和報告階段。未能有效地確定優(yōu)先級可能會導致時間和資源的浪費，因為團隊競相解決對業(yè)務關鍵資產(chǎn)沒有真正風險。

　　更糟糕的是，它使組織以最糟糕的方式變得脆弱。一個更好的方法是專注于可以利用的風險敞口的百分之一。如果操作正確，這種優(yōu)先級排序可以消除對業(yè)務敏感的系統(tǒng)99%的風險。

　　從這種優(yōu)先排序方法中受益的最佳方式是什么?使用尖端的攻擊補丁管理解決方案，使用以攻擊為中心的關鍵風險對暴露進行優(yōu)先級排序。該工具超越了有限的CVSS評分并顯示了全貌：每個漏洞被利用的可能性以及每個漏洞對您的“皇冠上的寶石”資產(chǎn)構成的風險。

　　2.不使用連續(xù)方法

　　有效的漏洞管理計劃是持續(xù)的，而不是偶發(fā)的。如果企業(yè)不采取持續(xù)的方法，他們將難以控制漏洞的流動并積累“漏洞債務”。這是一個嚴重的問題。

　　鑒于掌握新出現(xiàn)的漏洞已經(jīng)很困難，處理不斷積壓的安全問題可能會使整個情況站不住腳。使用以連續(xù)和自動化漏洞識別為中心的持續(xù)方法，而不是不定期的掃描和修復。這是開發(fā)由持續(xù)改進定義的安全態(tài)勢的關鍵之一。

　　3.溝通不暢，組織架構不清晰

　　當安全團隊沒有明確的溝通渠道和正確的組織結構時，幾乎肯定會出現(xiàn)問題。團隊成員經(jīng)常沒有明確的角色，他們不了解自己在整體漏洞管理框架中的位置，尤其是在職責方面。

　　當團隊成員有明確的角色定義和明確的職責時，他們可以有效地工作和協(xié)作。每個人都可以努力履行自己的職責并實現(xiàn)他們的特定目標，而不是孤立地工作和錯過更大的圖景——同時了解他們的工作如何與他人的角色和責任相關聯(lián)。

　　這種溝通需求也延伸到了最高管理層。鑒于強大的網(wǎng)絡安全已成為一項重要的戰(zhàn)略目標，公司領導層了解該計劃并對其進行投資非常重要。

　　主要漏洞管理問題

　　未能有效管理網(wǎng)絡漏洞的后果從未如此嚴重。一次數(shù)據(jù)泄露可能導致嚴重的聲譽和財務損失，而且泄露的數(shù)量每年都在不斷增加，而且沒有失敗。確實，漏洞管理已經(jīng)不再只是另一種IT支出——它應該是一個關鍵的業(yè)務目標。

　　為了實現(xiàn)這一點，必須了解漏洞管理應該是一個持續(xù)的、多階段的過程。解決困擾如此多原本聰明的IT部門的問題也很重要：優(yōu)先級不高、管理漏洞的方法不定期以及團隊和領導者之間缺乏組織和溝通。

　　就避免這些陷阱而言，正確的方法可以帶來巨大的收益。如上所述，您能做的最好的事情是結合強大的漏洞管理工具，提供適當?shù)膬?yōu)先級指導和關鍵風險上下文。

　　一旦您的基本戰(zhàn)略是合理的并且您配備了正確的工具，您的企業(yè)在保護您最寶貴的資產(chǎn)方面將遠遠領先于大多數(shù)競爭對手。