你的漏洞管理计划进展如何?有效果?还是已经成功了?坦白讲,如果没有正确的指标及对应的分析方法,你如何知道漏洞管理的效果、进展,甚至其投资回报率呢?
当然,即便你已经采取了一些评估手段,但错误的报告或错误的指标也可能会造成盲点,使安全团队向其他业务部门传达任何风险都变得更加困难。
不仅如此,你的关注点是否准确完整呢?网络健康度、扫描覆盖范围、平均修复时间、漏洞严重程度、修复率、漏洞暴露面……这个列表是无穷无尽的。市面上的每种工具都提供着各种不同的指标,因此很难知道什么是重要的。
本文将帮助你识别和定义一些关键指标,用于跟踪漏洞管理计划的状态及其所取得的进展,以便你可以掌握以下情况,以备审计不时之需:
• 证明你的安全态势
• 满足漏洞修复的 SLA 和基线
• 帮助通过合规性审计• 展示安全工具的投资回报率• 简化风险分析• 优先分配资源
01
为什么你需要对漏洞管理进行评估
指标在评估漏洞和攻击面管理的有效性方面发挥着关键作用。例如通过评估发现漏洞、确定漏洞优先级以及修复漏洞的速度,可以帮助你持续监控和优化其安全性。
通过正确的分析这些指标,你可以了解哪些问题更为关键,从而确定首先要解决的问题的优先级,并评估你的工作进度。最终,正确的指标可以让你做出明智的决策,从而将资源分配到正确的地方。
漏洞数量常常是一个很好的切入点,但它并不能单独告诉你太多信息——特别是如果没有优先级、修复建议和进度跟踪,那么多漏洞,你要从哪一个开始?因此,查找、优先处理并修复最关键的漏洞对于你的业务运营和数据安全而言,远比简单地查找每个漏洞重要得多。
智能优先级划分和过滤噪音非常重要,因为当你被非必要信息淹没时,很容易忽视真正的安全威胁。“智能化结果”优先考虑了对你的安全有真正影响的问题,不会让不相关的弱点对你造成额外负担,这使你的工作变得更轻松。
例如,面向互联网的系统是黑客最容易盯上的目标。优先考虑可能的暴露面,以便可以更轻松地收敛攻击面。漏洞管理工具应当用易于理解的语言解释真正的风险并提供补救建议,使漏洞管理变得容易,即使对于非专家来说也是如此。除了优先级,你还应该对哪些指标进行评估呢?
漏洞管理报告页面示例
02
漏洞管理的 5 个重要评估指标
1
扫描覆盖范围
你正在跟踪和扫描什么?扫描覆盖范围应当包括你管理并运营的所有资产,包括所有的关键业务资产、应用程序,以及各种类型的身份验证信息(例如,基于用户名和密码的验证信息或是无需密码的身份验证信息)。
随着时间的推移,攻击面也在演变、变化和增长,对攻击暴露面以及 IT 环境的任何变化(例如最近打开的端口和服务)进行监测非常重要。现代化攻击面管理工具可以检测出你可能不知道的资产部署,并减少无意的敏感数据暴露面。它还可以监测云端系统的变化情况,发现新资产,并自动将你的 IP 或主机名与云资源同步。
2
平均修复时间
安全团队修复关键漏洞所需的时间揭示了团队看到漏洞报告后做出反应的响应速度。安全团队要负责处置安全事件并向管理层提供修复建议和行动计划,因此这个时间应当始终保持在较低数值。同时,它还应该基于你预定义的 SLA,针对不同严重程度的漏洞,有不同的响应与修复时间,这个时间可以是相对值,也可以是固定值。
3
风险评分
你使用的漏洞管理工具,应当能够对每一个漏洞事件的严重性进行自动定级,通常可定为“严重”、“高”或“中”。如果你决定不在指定时间段内修补特定漏洞或一组漏洞,则视为接受风险。这时,如果你愿意接受风险或有其他缓解手段,可以使用漏洞管理工具推迟这一漏洞。
例如,当你发现一个关键风险时,正准备接受 SOC2 或 ISO 审计,这时你可能愿意接受这一风险,因为修复该漏洞所需的资源并不匹配实际的风险级别或商业层面的潜在影响。当然,在报告层面,你的 CTO 可能想知道有多少漏洞修复被推迟以及真正的原因是什么!
4
Issues
这是从漏洞被披露到扫描所有资产再到定位漏洞风险资产的关键点。从本质上讲,你在自身攻击面暴露面上检测漏洞的速度,决定着你能够修复这些漏洞并减少潜在攻击者的时间窗口。
在实战中这意味着什么?如果你的攻击面不断增加,你会发现全面扫描所有资产需要更长的时间,因此平均检测时间也会增加。相反,如果你的平均检测时间保持不变或下降,则说明你正在有效地利用资源。如果你面临的情况是前者,你应该问自己为什么需要更长的时间才能检测到漏洞?如果答案是攻击面已经扩大,也许你需要对工具和安全团队进行更多投资。
4
追踪进展
优先级(或智能化评估结果)对于帮助你决定首先修复什么非常重要,因为它对你的业务有潜在影响。漏洞管理工具应该能够过滤掉噪音并帮助减少误报,这是一个需要跟踪的关键指标,因为一旦减少了噪音,你就可以回过头来关注最重要的指标——平均修复时间。
为什么这很重要?因为当你确实发现问题时,你希望能够尽快解决它。攻击面管理工具使用多个扫描引擎来解释输出并根据上下文对结果进行优先级排序,因此你可以节省时间并专注于真正重要的事情。
5
攻击面监测
这可以帮助你了解整个攻击面受保护的资产(已发现或未发现)的百分比。当你所在的机构上线新业务时,漏洞扫描程序应检查新服务何时暴露,以避免无意中增加的数据暴露面。现代扫描仪应当能够监测到你的云端业务系统的变化,发现新资产,并将 IP 或主机名与云资源进行同步。
为什么这很重要?你的攻击面将不可避免地随着时间的推移而演变,从开放端口到启动新的云实例,你需要监测这些变化以最大程度地减少暴露面。这就是“攻击面发现”的用武之地。在指定时间段内发现的新服务数量可以帮助你了解攻击面是否在增长(无论是有意还是无意)。
6
为什么这些指标很重要
现代攻击面管理工具可以衡量最重要的内容。这些工具协助安全团队负责人生成报告,优先考虑漏洞的合规性,还提供安全事件跟踪等工具。有了它们,你可以了解到哪些资产易受到攻击,还能获得管理网络风险所需的确切优先级、补救措施、建议和自动化。
* 本文为晨雨编译,原文地址:https://thehackernews.com/2024/02/why-right-metrics-matter-when-it-comes.html
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。