过去的两年中,软件和硬件产品公开漏洞激增,显著增加了网络安全团队优先处理补丁管理的难度,对此,Axonius高级销售工程师Jon Ridyard在Infosecurity Europe 2025大会上发表演讲,提出了构建成熟漏洞管理流程,并避免团队倦怠的七个最佳实践。
一、整合CTEM概念
Jon Ridyard强调漏洞管理不应被视为有结束日期的临时项目,而应被视作一个持续过程。他主张将持续威胁暴露管理(CTEM)理念融入该流程,要求团队通过定期的漏洞模拟、攻击路径分析以及自动化测试进行循环评估。Ridyard特别指出:"团队不应该仅仅被动响应高危CVE或扫描后的单独事件。"
二、 制定管理矩阵
Ridyard表示,技术评分(如CVSS)虽具参考价值,但因缺乏上下文而存在缺陷,它既无法识别企业特有的安全状况与业务风险向量,也难以向利益相关者有效传达风险。为此,他建议根据三类数据,制定一个针对公司的漏洞和补丁管理矩阵,其中包含不同级别的风险优先级(例如紧急、高、中、低、豁免):
安全:CVE条目和CVSS分数
资产:包括生产环境(内部部署、端点上、云环境中)、端点保护状态和公共利用状态等考虑因素
业务:以考虑潜在开发的更广泛的业务影响
三、漏洞分类:人机协同
从业者建立了一个矩阵来依赖修复后,他们仍然需要对检测到的漏洞进行分类,并对漏洞进行优先级排序。为了简化这个过程,Ridyard建议使用手动分类方法和自动化相结合的方法,自动化工具负责收集漏洞基础信息(如CVE标识符、CVSS及EPSS分数等"明显信息"),而人工判断则专注于复杂决策。
四、补救:为自动解决添加逻辑
Ridyard建议自动化修复过程的某些方面,包括修复漏洞和应用补偿或减轻控制。同时强调:"补救绝非简单开关,需构建决策逻辑以确定何时触发自动化流程。
五、动员:使协作正规化和趣味化
由于漏洞管理可能涉及组织内不同团队的人员,Ridyard提倡正式的协作,并建立明确的规则,规定谁对什么负责。他建议尝试趣味化补丁管理,例如以友好竞争的形式,作为激励合作的好方法。他解释说:“通过这样做,你将把修补漏洞的苦差事变成一项有趣的活动。”
六、指标:设定并沟通期望
建立健康的漏洞管理流程的另一个关键因素是设置。根据分配给安全团队的预算,以保护级别协议(PLAs)的形式,与董事会和整个业务部门达成期望。Ridyard说:“例如,如果给我1万美元的预算,让我同意在7天内修补某个类别的漏洞,那么拖延就意味着我无法满足客户的要求,如果因此发生了什么不好的事情,我可能要承担责任。”
七、 授权:授权您的安全从业人员
最后,Ridyard强调了授权安全团队成员的必要性,这样他们才会觉得自己在做有意义的工作。“要积极主动,鼓励创新,”他总结道。
结语:
基于Jon Ridyard提出的漏洞管理七项实践,核心方案为:构建持续化流程(整合CTEM)、制定业务优先级矩阵、人机协同分类、自动化修复决策、正规化协作机制、设置预算约束的PLAs指标、授权安全团队。企业或团队可根据这七项实践进行漏洞管理程序的构建,维护产品安全。
参考链接:https://www.infosecurity-magazine.com/news/infosec2025-seven-steps/
京公网安备 11010802033237号
