您的漏洞管理计划进展如何? 有效? 还是它已经起作用了? 坦率地说,如果没有正确的指标和相应的分析方法,你怎么知道漏洞管理的有效性如何,进展如何,甚至它的投资回报率如何?
当然,即使您已经进行了一些评估,不正确的报告或不正确的指标也会造成盲点,使安全团队更难将任何风险传达给业务的其他部分。
不仅如此,您的担忧是否准确和完整? 网络运行状况、扫描覆盖率、平均修复时间、漏洞严重性、修复率、漏洞暴露面......清单是无穷无尽的。 市场上的每种工具都提供了各种不同的指标,因此很难知道什么是重要的。
本文将帮助你识别和定义一些关键指标跟踪漏洞管理计划的状态及其进展,以便在需要审计时掌握以下内容:
证明您的安全状况。
满足漏洞修复的 SLA 和基线要求。
帮助通过合规性审核。
展示安全工具的投资回报率。
简化风险分析。
确定资源分配的优先级。
为什么需要评估漏洞管理指标在评估漏洞和攻击面管理的有效性方面发挥着关键作用。 例如评估漏洞的发现、优先级和修复速度可以帮助您持续监控和优化其安全性。
通过对这些指标的正确分析,您可以了解哪些问题更关键,因此您可以确定首先要解决的问题的优先级并评估您的进度。 最终正确的指标使您能够做出明智的决策,从而将资源分配到正确的位置。
漏洞的数量通常是一个很好的起点,但它本身并不能告诉你太多——尤其是如果没有优先级、修正建议和进度跟踪,那么有这么多漏洞,你想从哪一个开始? 因此,查找、确定优先级和修复最关键的漏洞对于您的业务运营和数据安全远比简单地查找每个漏洞更重要。
智能优先级排序和过滤噪音非常重要,因为当您被不必要的信息淹没时,很容易忽视真正的安全威胁。 智能结果会优先考虑对您的安全有实际影响的问题,并且不会让不相关的弱点给您带来负担,从而使您的工作更轻松。
例如,面向互联网的系统是黑客最容易攻击的目标。 确定可能的暴露面的优先级,以便可以更轻松地收敛攻击面。 漏洞管理工具应解释真正的风险,并以易于理解的语言提供补救建议,使漏洞管理变得容易,即使对于非专家也是如此。 除了优先级之外,您还应该评估哪些其他指标?
漏洞管理报告页面的示例。
漏洞管理的 5 个重要指标
1.扫描范围:您正在跟踪和扫描什么? 扫描范围应包括您管理和操作的所有资产,包括所有业务关键型资产、应用程序和各种类型的身份验证信息(例如,基于用户名和密码的身份验证或无密码身份验证信息)。
攻击面也会随着时间的推移而演变、变化和增长,因此监视攻击暴露面以及 IT 环境中的任何更改(例如最近打开的端口和服务)非常重要。 现代攻击面管理工具可以检测您可能不知道的资产部署,并减少敏感数据的意外暴露面。 它还可以监控云系统的变化,发现新资产,并自动将您的 IP 或主机名与云资源同步。
2 平均修复时间:安全团队修复关键漏洞所需的时间揭示了团队在看到漏洞报告时的响应速度。 安全团队负责处理安全事件并向管理层提供补救建议和行动计划,因此应始终保持较低的时间。 同时,它还应该基于预定义的 SLA,针对不同严重性的漏洞提供不同的响应和修复时间,可以是相对的,也可以是固定的。
3. 风险评分您使用的漏洞管理工具应该能够自动对每个漏洞事件的严重性进行评级,这些事件通常可以是“严重”、“高”或“中”。 如果您决定在指定时间段内不修补特定漏洞或一组漏洞,则表示您接受风险。 此时,如果您愿意接受风险或有其他缓解选项,则可以使用漏洞管理工具来推迟漏洞。
例如,如果您确定了一个关键风险,并且正在准备进行 SOC2 或 ISO 审核,您可能愿意接受该风险,因为修复漏洞所需的资源与实际风险级别或业务级别的潜在影响不匹配。 当然,在报告层面,您的 CTO 可能想知道有多少错误修复被延迟以及真正的原因是什么!
4issues这是从漏洞被披露到扫描所有资产,再到定位漏洞风险资产的关键点。 从本质上讲,在攻击面的公开表面上检测漏洞的速度决定了可以修正这些漏洞并减少潜在攻击者的时间窗口。
这在实践中意味着什么? 如果攻击面不断增加,你会发现完全扫描所有资产需要更长的时间,因此平均检测时间会增加。 相反,如果平均检测时间保持不变或减少,则可以有效地利用资源。 如果你面对的是前者,你应该问问自己,为什么需要更长的时间才能检测到漏洞? 如果答案是攻击面已经扩大,也许您需要在工具和安全团队上投入更多资金。
4 跟踪进度优先级(或智能评估结果)对于帮助您决定首先修复什么非常重要,因为它对您的业务有潜在影响。 漏洞管理工具应该能够过滤掉噪音并帮助减少误报,这是一个需要跟踪的关键指标,因为一旦噪音减少,您就可以返回并专注于最重要的指标——平均修复时间——平均修复时间。
为什么这很重要? 因为当您发现问题时,您希望能够尽快解决它。 攻击面管理工具使用多个扫描引擎来解释输出并根据上下文确定结果的优先级,因此您可以节省时间并专注于真正重要的事情。
5 攻击面监视:这可以帮助您了解在整个攻击面中受保护的资产(已发现或未发现的)的百分比。 当组织使用新服务上线时,漏洞扫描程序应检查新服务何时公开,以避免无意中增加数据公开面。 现代扫描程序应该能够检测云中业务系统的变化,发现新资产,并将 IP 或主机名与云资源同步。
为什么这很重要? 攻击面将不可避免地随着时间的推移而演变,从打开端口到启动新的云实例,你需要监视这些变化以最大程度地减少暴露面。 这就是“攻击面发现”的用武之地。在指定时间段内发现的新服务数有助于了解攻击面是否有意或无意地增长。
6 为什么这些指标很重要:现代攻击面管理工具可以衡量最重要的内容。 这些工具可帮助安全团队负责人生成报告,确定漏洞合规性的优先级,并提供安全事件跟踪等工具。 借助它们,您可以了解哪些资产易受攻击,并获得管理网络风险所需的确切优先级、补救措施、建议和自动化。
the end 】—