企业网络安全漏洞管理之晋级路线

几乎可以说，网络安全的世界，没有漏洞就没有威胁。

漏洞管理是企业网络安全管理中最基础的工作，但说起漏洞管理，却几乎是每个CISO的心头之痛。

一、漏洞管理痛点

1、更新慢

目前主流的漏洞扫描产品厂商，一般每 1~2 周更新一次漏洞扫描特征库，管理到位的企业能够及时连接漏洞库对产品升级，更多的企业可能在厂商漏洞库更新后很久都不能做到及时升级，所以漏洞扫描产品往往更新滞后。

2、检测慢

在安全公司Tripwire最近的一份网络健康状态调查中，80%的受访者称自家企业有漏洞扫描计划。约60%的受访者每天或每周进行一次扫描，40%的受访者表示每月、每季度或更长时间才扫描一次。有趣的是，仅一半的受访者称自家公司会进行经验证的扫描。另外，很多企业的漏洞扫描计划从提出到层层审批，再到实施也需要经历较长的审批流程。

3、处理慢

漏洞处置与漏洞检测一样，需要耗费较长时间。SolarWinds MSP曾经做过一次调研，结论是“修补一个严重的Web应用程序漏洞平均需要多达69天的时间，而针对内部网络的类似漏洞则平均需要 65 天的时间。”

漏洞能够管理项目如何晋级？什么样的漏洞管理模式才算成熟？

二、漏洞管理的五个阶段

著名Tripwire给出了答案，Tripwire基于CMM将漏洞管理分为五个成熟度阶段，这五个成熟度阶段为企业漏洞管理提供了晋级路线图，可以帮助公司企业更好地了解自身漏洞管理项目与既定目标之间的差距，方便找出实现安全项目目标的办法。

1、初始阶段

处在这一阶段的公司企业要么没有任何漏洞管理措施，要么只做临时性的测试。

2、已管理阶段

处于这个阶段的企业可以自发在内部开展漏洞扫描工作，每周或者每月固定开展，但是往往是为了应对外部监管。

3、已定义阶段

该阶段的漏洞管理工作为公司所理解，也受到管理层的一定支持，漏洞扫描更为频繁。

4、量化管理阶段

处在这一阶段的公司企业有可量化、可度量的指标，定义可接受的风险水平。

5、优化管理阶段

在这一阶段，使用第四阶段定义的度量指标用实现管理提升和优化，所有的优化指标都用于减少组织的受攻击面。

对照这五个阶段可以看出，大多数企业往往处于成熟度的第二个或者第三个阶段。

三、漏洞管理的建议

1、赢得高层支持

高层的态度对于漏洞管理项目来说意义重大，你的项目计划能赢得领导多大程度 的支持，很大一部分取决于你的表达能力和项目本身效果 的“可视化”程度。如果成败的价值差异或者严重程度不足以打动领导，那么你的预算自然也是可有可无。

2、高频扫描

高频扫描不是连续扫描，它的目的是为了及时发现新的漏洞，要注意和漏洞补救工作相配合。如果修复节奏是每月一次，那么每天扫描也无助于改善结果。理想的状态是扫描频率与修复节奏同步，而且在变更时能够自动执行扫描。

3、指标量化

提出漏洞管理的量化指标，比如扫描频率、扫描比率、漏洞修复时长、漏洞修复比率。量化的指标要根据企业实际情况制定，给漏洞管理人员指明目标。

4、融合业务

漏洞威胁不是孤立的，网络安全工作要紧跟业务，紧紧围绕业务需要，核心业务系统的轻微漏洞一定比一台置于仓库的破旧打印机的严重漏洞要重要的多。

四、结束语

万物互联时代到来，网络安全漏洞的数量将呈几何数量级增长，随着等级保护2.0的推进，2019年国家《网络安全漏洞管理规定（征求意见稿）》发布，2020年正式稿呼之欲出。漏洞管理作为网络安全防护中最基础，最重要的一个环节时刻不能放松。