虽然Log4j漏洞的影响范围很大,但安全专家表示,这个数字和其他研究以及他们自己的调查显示,许多企业都在改进识别、排序和修复软件中安全问题的流程。
以下是一些有助于构建高效漏洞管理计划的最佳做法。
1 .了解自己的环境
安全专家强调,必须准确了解首席信息安全官需要保护的技术环境,这有助于了解技术堆栈是否存在已知漏洞和新发现的漏洞。
但是,这个说起来容易做起来难。 网络安全培训机构SANS Institute的认证讲师、安全技术商Scythe的首席技术官以及C2矩阵项目的联合创始人Jorge Orchiles表示:“每个人都在做安全措施他们不知道幕后发生了什么。 这仍然是最大的挑战。 ”
他看到成熟的安全操作占环境的主要组成部分,但忽视了小元素和代码本身。 这种疏忽可能留下了未经修正的重要漏洞。
Orchiles建议网络安全读取器确保详细记录技术环境,包括所有组件(如编程库)。 事实证明,这些组件对于修复Log4j漏洞的企业至关重要。 此外,每当新系统推出时,首席信息官带来的团队都必须不断刷新这一记录。
2 .制定真正的计划(不仅仅是临时的工作)。
扫描漏洞并修复出现的漏洞似乎就足够了,但安全专家表示,临时方法效率低下,不充分。 例如,安全团队花了宝贵的时间来修复对企业构成有限威胁的漏洞,而不是优先考虑高风险问题。 或者,他们忙于完成其他项目,推迟漏洞管理直到有空闲时间。
TCE Strategy公司首席执行官Bryce Austin表示,为了防止这种情况发生,首席信息安全官必须采用将企业对风险的容忍度与识别、修复和缓解已确定漏洞的过程相结合的程序化方式进行漏洞管理
此外,还必须确定企业执行漏洞扫描的频率,并包括与供应商修补程序发布日期相关的时间表。
咨询机构ProtivITi公司的技术风险、it审计和网络安全服务理事长兼ISACA纽约大都会分部会长Farid Abdelkader表示,良好的漏洞管理计划应该有明确的流程和政策、专利团队和治理
Abdelkader还建议首席信息安全官使用KPI来确定良好的外观、确定需要改进的区域,并指示随着时间的推移取得的进展。《足够安全吗?面向企业主和高管的20个网络安全问题》文章的作者Austin说,拥有成熟漏洞管理计划的企业有一个向企业高管报告活动的过程,以了解计划的重要性和跟踪记录。 他指出,这有助于确保进行有效的监控,并像对待企业中的其他业务风险一样对待漏洞管理。
3 .根据企业自身风险定制
企业需要不断发现新的漏洞,除了现有的已知漏洞外,几乎不可能修复这些问题。 Abdelkader表示,企业必须找出最重要的漏洞,并找到确定修复工作优先顺序的方法。
Abdelkader表示:“企业了解事件的严重性。 如果有漏洞怎么办? 这对数据有什么影响? 还是系统发生故障时? 这对企业的业务、客户和声誉有什么影响? 企业需要了解这些资产的真正风险以及这些事情发生的实际风险。 ”
这项工作可以通过漏洞扫描、供应商和其他安全渠道提供的分类(高、中、低)来指导,但该过程需要考虑企业对风险的容忍度、技术环境、行业等。
他解释说:“它必须与企业、重要资产和资源、数据、计算机或系统受到重要威胁的程度有关。”
他指出,作为一个孤立的系统,面临的风险与当前系统不同,因此每个人都必须根据自身风险获得不同级别的救济优先级。
但他补充说,这种基于企业自身风险状况的定制和优先级排序并不一定会发生。 他说。 “许多漏洞管理项目都是从列出漏洞扫描中发现的内容、企业中实际存在的重要风险以及真正感兴趣的问题的列表中开始的。 ”
中文
电话咨询
微信咨询
公众号
