漏洞运营管理的“一张一弛”之道

新闻
15天前

漏洞修复压力正在伤害漏洞管理的积极性


近年来,外部网络安全形势日益严峻,网络安全监管力度加大,网络安全呈现出一种实战化、常态化的高压态势。各组织通过部署资产和漏洞管理系统加强对资产和漏洞的管理。随着运营过程中资产数据、漏洞数据的不断集中,大量的漏洞风险信息汇聚到漏洞管理平台,据不完全统计,小型组织的待办漏洞列表约为1-3万漏洞,中小型组织的待办漏洞列表约为7-10万漏洞,大型组织的待办漏洞列表呈几何倍数增长。漏洞管理呈现出一种“不管不知道,一管吓一跳”的局面。


冗长的待办漏洞列表给部门间沟通、修复、验证带来工作虚耗和无谓的成本增加,以及风险暴露时间的增加,给运营和合规考核带来不可预料的风险。尤其是经过努力的修复后,待办漏洞列表却并不明显见少,无形中正在伤害组织在漏洞风险管理方面的积极性。

当前,尽管有各类漏洞优先级(VPT)手段对待办漏洞进行优先级排序,但对减少待办漏洞列表没有明显作用,同时,优先级最高的漏洞列表往往也非常长,超出了组织的预期和修补力量的能力。因此,如何理顺漏洞管理日常运营工作,化解始终悬在安全管理人员头上的待办漏洞带来的巨大压力成为亟需解决的问题。


“一张一弛”的解决之道


漏洞运营管理过程中应以事入手,而非以漏洞入手。待办漏洞列表与业务场景、管理场景结合,形成一件一件的可理解的工作事项,通过工作事项在内部形成共识和统一行动,明确责任,减少沟通成本,提高效率。通过“一张一弛”的技术手段“抓大放小”,缩小待办漏洞列表,减少管理的复杂性。

  • 张:威胁明确、合规要求、业务要求的漏洞作为最优先处置漏洞。如勒索软件漏洞、两高一弱专项漏洞、系统上线安全检查漏洞、开源组件恶意组件漏洞等,并能够自动化流转。做到“抓大”。

  • 驰:根据组织自身的特性和合规相关内容综合考量确定的全局的无需处理的漏洞。如某些误报漏洞、组织可接受风险的重复出现的漏洞等,从待办漏洞列表中自动剔除。做到“放小”。


功能实现


漏洞红名单

摄星漏洞管理平台通过“漏洞红名单”功能实现“一张”手段来“抓大”,涵盖如下四种内置和自定义场景。

01 威胁导向场景

内置勒索软件漏洞、APT漏洞、间谍软件漏洞清单;

02 合规管理场景

内置两高一弱互联网漏洞、两高一弱内网漏洞、CISA KEV漏洞、关键漏洞目录清单;

03 业务需求场景

可自建系统上线安全检查、内部合规等漏洞清单;

04 开源组件管理场景

内置开源组件恶意组件包清单;

1747964204816924.png


上述内置漏洞红名单基于摄星科技XBOM XVD+漏洞情报,可随漏洞管理平台知识库更新而动态更新。用户还可根据各类场景为漏洞进行单独标记,更加便捷的管理漏洞。

各类资产测绘、漏洞扫描、主机安全、威胁和漏洞情报等三方数据进入漏洞管理平台后,一旦触发漏洞红名单,将会:

01 自动标记

使用用户已定义的不同的场景标签自动对漏洞进行标记,用户可进行筛选和查询;

02 自动派发和通知

将会自动派发和通知资产及漏洞责任人,减少操作的复杂性,提升管理流程效率;

03 使用图表追踪处置过程

红名单图表将会跟踪红名单漏洞的整个生命周期处置过程,为红名单漏洞处置提供可视化的分析和跟踪手段。

漏洞白名单

摄星漏洞管理平台通过“漏洞白名单”功能实现“一驰”手段来“放小”。用户可根据自身运营情况为各类干扰性漏洞、重复性漏洞、接受风险漏洞形成白名单。

各类资产测绘和漏洞扫描、主机安全等三方数据进入漏洞管理平台后,一旦触发漏洞白名单,平台自动把这些漏洞从待办漏洞清单清除。待办漏洞清单成为短名单,使得组织的人力和物力能够更加聚焦。

1747964238580198.png

功能效果


漏洞红、白名单功能是在多个重点行业用户漏洞运营管理实际需求基础上形成,并经过实际运营环境验证和优化,为缓解漏洞修复压力提供了一种可行的途径。内置红名单列表提供了专业性和不断更新的生命力,自定义能力提供了更多的灵活性,标签提供了管理上的便捷性,自动化能力减少了管理的复杂性,带来效率和质量的提升。

红、白名单的整体运用将极大压缩待办漏洞清单的长度,使得用户能够更加聚焦威胁导向、合规要求、业务安全要求的漏洞,减少组织在漏洞修复方面的人力和物力投入,减少真实风险的暴露时间,进而减少组织风险的暴露面和攻击面,带来整体安全性的提升。