首席信息安全官仍然会犯的漏洞管理错误

Under Armour公司首席信息安全官Alex Attumalil说，“首席信息安全官不应全部承担漏洞管理的责任或风险。”

首席信息安全官并不拥有他们支持的系统或业务功能，也无权单独确定企业是否愿意接受任何特定风险。

他说，“我们不能完全代表企业接受风险。这需要与其他企业领导者沟通风险，根据业务风险制定漏洞管理框架，并让他们成为解决方案的一部分。他们需要知道自己应该对系统引入的漏洞负责。”

Attumalil表示，这种方法让首席信息安全官以外的企业高管参与其中，这一举措在漏洞管理工作(例如安排系统停机时间进行修补)方面建立了更多支持和协作。

Pulse公司最近为安全供应商Vulcan Cyber公司进行的一项研究表明，在200多名做出响应的企业IT和安全主管中，绝大多数都没有根据其企业自身独特的风险状况对漏洞进行优先级排序。更具体地说，该研究表明，86%的受访者表示将依赖第三方漏洞严重性数据来确定漏洞的优先级，70%的人还使用第三方威胁情报。

资深安全领导人警告不要采用这种方法，称这可能会让首席信息安全官及其团队将有限的资源集中在错误的威胁上。

KLC咨询公司为美国国防承包商提供网络安全建议和vCISO服务，其总裁兼首席信息安全官Kyle Lai建议采用不同的方法。他表示，首席信息安全官及其团队必须了解企业自身的技术环境，并拥有最新的资产清单，他们必须了解企业的风险偏好和风险承受能力，以便他们能够识别对自己企业的最大威胁，并优先消除这些威胁。

他说，“他们应该了解特定威胁可能产生的影响有多大，应该知道哪些威胁更严重。并且根据对自己所在企业的影响来确定优先顺序。”

Lexmark International公司首席信息安全官Bryan Willett认识到，修补Linux系统所需的技能与修补Windows所需的技能不同，而这些技能也不同于在其漏洞管理程序中执行其他任务所需的技能。

此外，他的安全工作人员对漏洞管理所需的知识与IT工作人员在实际系统中进行修补所需的知识不同。

他说，“所以我希望这些团队接受必要的培训，以承担起他们的责任。”

但安全领导者表示，并非所有企业都致力于提供员工所需的持续安全教育，以提供世界一流的安全性，更具体地说是强大的漏洞管理功能。专家表示，企业有时会低估漏洞管理任务所需的专业化程度，或者他们忽略了对员工进行自身企业内使用的特定系统或工具进行培训的必要性。

Willett补充说，“每个人都需要记住的是，员工想要做正确的事情，但我们必须对他们进行投资，让他们能够做正确的事情。”

Linux基金会的研究表明，越来越多的企业正在使用软件材料清单(SBOM)来更好地理解他们系统中的所有代码。更具体地说，该报告表明，47%的企业正在生产或使用软件材料清单(SBOM)，78%的企业预计将在2022年生产或使用软件材料清单(SBOM)(高于2021年的66%)。

尽管这些数字显示软件材料清单(SBOM)的使用有所增加，但它们仍然表明许多企业可能无法了解其IT环境中的所有代码。Lai表示，缺乏可见性限制了他们了解自己是否存在需要解决的漏洞的能力。

他说，“你必须知道有什么代码和什么开源组件，所以当像Log4J这样的漏洞出现时，就知道它存在的所有地方。”

专业服务商普华永道公司网络与隐私创新研究所负责人Joe Nocera表示，尽管漏洞管理是一项永无止境的任务，但可以通过解决技术债务将其纳入更有效的计划中。

正如Nocera解释的那样：“越能淘汰旧版本或在标准堆栈上整合，就越不需要管理漏洞。这就是我认为简化和整合是可以获得的最佳力量倍增器的原因。”

Nocera承认，淘汰遗留系统和解决技术债务当然不会消除漏洞。但是摆脱遗留系统确实会消除一些工作，它可以让企业摆脱不再能够打补丁的系统，从而降低风险。

他说，通过解决这些问题，安全团队及其IT同行可以将重点转移到解决剩余的优先事项上，从而使该计划更加有效和有影响力。

尽管这种方法有诸多好处，但许多企业并没有将其作为优先事项：远程监控和管理云平台制造商Action1公司发布的2022年端点管理和安全趋势报告发现，只有34%的受访者计划专注于消除他们已采用云计算替代品取代的风险遗留软件。

关于新漏洞或新出现威胁的最初警告通常来自缺乏大量细节的简短公告。尽管这些早期报告附带的信息有限，但安全团队不应该忽视它们的重要性。Lai表示，事实上，跟踪来自各种安全来源的新闻和头条以了解即将发生的事情至关重要。

他说，“你想关注即将发生的事情。他们可能不会提供任何细节，但这种类型的情报可以帮助企业更好地做好准备，可以开始工作或做好计划。”

另一方面，Forrester Research公司高级分析师Erik Nost警告首席信息安全官，不要在没有首先评估突发新闻是否会影响到他们自己的企业，以及影响到多大程度的情况下对突发新闻做出反应。

他说，“许多首席信息安全官仍在学习如何处理零日漏洞以及成为新闻头条的漏洞，这些漏洞的出现频率越来越高。梳理一些耸人听闻的新闻，以及哪些漏洞对他们的企业构成实际威胁是一项挑战，但要求团队修复他们收件箱或首席执行官在新闻头条中看到的所有内容并不是正确的方法。”

Nost指出，康奈尔大学最近的一项分析表明，高级持续性威胁(APT)比零日漏洞更有可能利用已知漏洞。因此，Nost说，“首席信息安全官还应该考虑威胁行为者，并考虑高级持续性威胁(APT)是否可能针对他们的企业进行攻击。”

他说，安全团队应该将主动攻击视为更好的优先考虑因素，而不是媒体谈论的内容。

Nost补充说，“团队的时间紧迫。如果他们试图修补出现在Twitter上的每个漏洞，那么他们就没有根据他们可接受的风险偏好积极评估特定于他们企业的风险，并修复作为最大威胁的漏洞。如果存在成为新闻头条的零日漏洞或漏洞，可能仍需要采取行动，因此其团队应该制定有关如何评估威胁的程序。只需记住遵守既定的行动手册、风险偏好和威胁分析程序。”

Gartner公司的调查显示，大多数董事会成员现在将网络安全视为一种风险，而且还发现大多数(57%)董事会成员在2021～2022年期间增加或预计增加风险偏好。与此同时，每年新发现的漏洞数量继续增长。传统企业的IT环境也在不断发展。

专家表示，这些要点表明，首席信息安全官需要制定流程，重新审视和审查其计算方法，以确定漏洞缓解和补救的优先级。

Gray说，“很多时候，企业并不擅长管理漏洞的生命周期，而漏洞数量一直在增长，并且不断变化，这是需要不断关注的事情。”

Nocera表示，将安全和安全设计原则嵌入到开发过程中的企业并不多，这导致首席信息安全官和首席信官错失了为他们的企业共同构建更强大的漏洞管理计划的机会。

Nocera说，将安全性更早地引入开发过程(或“左移”)，可以让首席信息安全官在代码投入生产之前提前解决安全问题，所以不会在环境中引入已知的漏洞。

Nocera说，左移不一定会减少漏洞管理工作的数量，但就像消除遗留系统和技术债务一样，它确实可以释放资源，以便团队可以优化他们的漏洞管理工作。

如果您在企业IT、网络、通信行业的某一领域工作，并希望分享观点，欢迎给企业网D1Net投稿。

投稿邮箱：

editor@d1net.com

合作电话：

010-58221588（北京公司）

021-51701588（上海公司）

合作邮箱：

Sales@d1net.com

点击蓝色字体关注

企业网D1net旗下信众智是CIO（首席信息官）的智力、资源分享平台，也是国内最大的CIO社交平台。

信众智让CIO为CIO服务，提供产品点评、咨询、培训、猎头、需求对接等服务。也是国内最早的toB共享经济平台。

同时，企业网D1net和超过一半的央企信息部门主管联合成立了中国企业数字化联盟，主要面向各地大型企业，提供数字化转型方面的技术、政策、战略、战术方面的帮助和支撑。

首席信息安全官仍然会犯的漏洞管理错误