讨论漏洞管理中持续面临的挑战,包括确定漏洞的优先级和解决修补延迟问题。
您认为为什么尽管技术不断进步,但优先考虑漏洞和修补延迟等挑战仍然存在?
企业基础设施日益复杂,攻击面不断扩大,漏洞和暴露检测能力不断提高,所有这些都导致必须分类的发现数量急剧增加。例如,我们已发布的CVE数量接近 25 万,年增长率为 16%。大多数组织没有足够的人员,也没有适当的技术来应对持续不断的漏洞。在许多方面,这是一场数字游戏,安全团队根本无法跟上。
基于风险的漏洞管理越来越受到重视。您推荐哪些策略来有效地对漏洞进行优先级排序?
关键是要有一个涵盖所有类型漏洞、暴露和安全发现的企业级优先级排序流程。漏洞扫描器和态势管理工具的严重性评级和风险评分不一致,因此无法使用它们进行一致的优先级排序。必须明确说明,每个组织中漏洞或安全发现被归类为严重或高风险时必须满足哪些条件。
漏洞情报可以为安全团队提供必要的详细信息,以确定哪些漏洞需要他们关注。例如,了解漏洞是否被积极利用、哪些威胁行为者被发现利用了该漏洞以及是否有可用的补丁,可以帮助漏洞管理分析师确定威胁级别。当将这些情报与组织既定的风险阈值进行比较时,可以为决策提供坚实的基础。
合规性要求如何影响漏洞管理策略?组织经常忽视哪些合规性挑战?
合规性通常会影响医疗保健、金融服务和政府等受到严格监管的行业的漏洞管理策略,通过规定漏洞缓解时间表和实施专门的报告要求。漏洞检测和暴露管理功能现已扩展到包括身份、数据管理和 SaaS 系统的评估,这大大增加了必须跟踪和报告的发现的数量和类型,而这往往被安全和合规团队忽视。
监管的一个不幸但常见的后果是,它往往成为安全工作的唯一重点。组织在寻求合规性时,可能会选择最具成本效益的路线,这可能对整体安全计划不利。至关重要的是不要忽视最终目标:最大限度地降低风险并保护组织最重要的资产。
自动化通常被视为解决漏洞管理挑战的解决方案。您认为自动化在哪些方面影响最大?其局限性是什么?
扩展漏洞和暴露管理程序的唯一方法是提高自动化程度。自动化可以产生的最大影响之一是统一、丰富和组织漏洞和安全发现。这些是优先级排序过程中最耗时的步骤,如果手动完成,很容易出现人为错误。这些步骤的自动化使漏洞分类和优先级排序的方法保持一致。
自动化在推动补救工作流(包括票务和事件响应)方面也发挥着重要作用。从历史上看,任务补救和缓解活动都是手动执行的,因为每个组织都有自定义工作流来确定谁应该修复漏洞、何时完成修复、需要哪些信息等。现在已有技术可以自动化这些流程并跟踪补救直至完成,从而加快流程并消除人为错误。
在漏洞管理方面,自动化的最大限制是针对漏洞检测的修补和配置更改的完全自动化。特别是在运营环境中,必须严格管理某些关键应用程序和服务的更新,以避免中断。
您认为组织在不久的将来需要为漏洞管理中的哪些新兴趋势做好准备?
公开披露的漏洞数量增长没有尽头。我们预计,人工智能发现开源软件和商业产品中漏洞的能力只会加剧这一问题。此外,我们预计,由于攻击者使用人工智能,漏洞利用时间(披露后)会加快。组织必须制定战略和计划,使他们能够加快整个企业的漏洞分类和响应时间,以适应这种不断变化的威胁形势。
