什么是漏洞管理生命周期？

美国国家标准与技术研究院 (NIST) 每个月都会向国家漏洞数据库添加 2,000 多个新安全漏洞。安全团队不需要跟踪所有这些漏洞，但他们确实需要一种方法来识别和解决对其系统构成潜在威胁的漏洞。这就是漏洞管理生命周期的目的。

漏洞管理生命周期是一个持续的过程，用于发现、优先处理和解决公司 IT 资产中的漏洞。

典型的生命周期有五个阶段：

资产清单和脆弱性评估。
漏洞优先级。
漏洞解决。
验证和监控。
报告和改进。

漏洞管理生命周期允许组织通过采取更具战略性的漏洞管理方法来改善安全状况。安全团队不是对出现的新漏洞做出反应，而是积极寻找系统中的缺陷。组织可以识别最关键的漏洞，并在威胁行为者发起攻击之前采取保护措施。

为什么漏洞管理生命周期很重要？

漏洞是网络或资产的结构、功能或实施中的任何安全漏洞，黑客可以利用这些漏洞来损害公司。

资产建设中的根本缺陷可能会导致漏洞。臭名昭著的 Log4J 漏洞就是这种情况，流行的 Java 库中的编码错误允许黑客在受害者的计算机上远程运行恶意软件。其他漏洞是由人为错误引起的，例如配置错误的云存储桶将敏感数据暴露给公共互联网。

每个漏洞对于组织来说都是一种风险。根据 IBM 的 X-Force 威胁情报指数，漏洞利用是第二大常见的网络攻击媒介。 X-Force 还发现，新漏洞的数量逐年增加，仅 2022 年就记录了 23,964 个。

黑客拥有越来越多的漏洞可供使用。为此，企业已将漏洞管理作为其网络风险管理策略的关键组成部分。漏洞管理生命周期为不断变化的网络威胁环境中有效的漏洞管理计划提供了一个正式的模型。通过采用生命周期，组织可以看到以下一些好处：

主动发现和解决漏洞：企业通常不知道自己的漏洞，直到黑客利用它们。漏洞管理生命周期是围绕持续监控构建的，因此安全团队可以在对手之前发现漏洞。
战略资源分配：每年发现数以万计的新漏洞，但只有少数与组织相关。漏洞管理生命周期可帮助企业查明网络中最关键的漏洞，并确定最大风险的优先级以进行修复。
更加一致的漏洞管理流程：漏洞管理生命周期为安全团队提供了一个可重复的流程，从漏洞发现到修复等等。更一致的流程会产生更一致的结果，并使公司能够自动化资产清单、漏洞评估和补丁管理等关键工作流程。

漏洞管理生命周期的各个阶段

网络中随时可能出现新的漏洞，因此漏洞管理生命周期是一个连续的循环，而不是一系列不同的事件。生命周期的每一轮都直接进入下一轮。单轮通常包含以下阶段：

第 0 阶段：规划和前期工作

从技术上讲，规划和准备工作发生在漏洞管理生命周期之前，因此被称为“阶段 0”。在此阶段，组织会解决漏洞管理流程的关键细节，包括以下内容：

哪些利益相关者将参与其中，以及他们将扮演的角色
可用于漏洞管理的资源（包括人员、工具和资金）
确定漏洞优先级和响应的一般准则
衡量计划成功的指标

组织不会在生命周期的每一轮之前经历这个阶段。一般来说，公司在启动正式的漏洞管理计划之前会进行广泛的规划和前期工作阶段。计划到位后，利益相关者会定期重新审视计划和前期工作，以根据需要更新其总体指南和策略。

第一阶段：资产发现和漏洞评估

正式的漏洞管理生命周期始于资产清单——组织网络上所有硬件和软件的目录。该清单包括官方批准的应用程序和端点以及员工未经批准使用的任何影子 IT 资产。

由于新资产会定期添加到公司网络中，因此资产库存会在生命周期的每一轮之前更新。公司经常使用攻击面管理平台等软件工具来自动化库存。

识别资产后，安全团队会评估它们是否存在漏洞。该团队可以结合使用工具和方法，包括自动漏洞扫描器、手动渗透测试和来自网络安全社区的外部威胁情报。

在生命周期的每一轮中评估每项资产将是一项繁重的工作，因此安全团队通常会分批工作。生命周期的每一轮都侧重于特定的资产组，越关键的资产组接受扫描的频率越高。一些先进的漏洞扫描工具会实时持续评估所有网络资产，使安全团队能够采取更加动态的方法来发现漏洞。

第 2 阶段：漏洞优先级排序

安全团队优先考虑他们在评估阶段发现的漏洞。优先级确保团队首先解决最关键的漏洞。此阶段还可以帮助团队避免将时间和资源投入到低风险漏洞上。

为了确定漏洞的优先级，团队考虑以下标准：

来自外部威胁情报的严重程度评级：这可以包括 MITRE 的常见漏洞和暴露 (CVE) 列表或常见漏洞评分系统 (CVSS)。
资产重要性：关键资产中的非关键漏洞通常比不太重要资产中的关键漏洞具有更高的优先级。
潜在影响：安全团队权衡黑客利用特定漏洞可能发生的情况，包括对业务运营的影响、财务损失以及任何采取法律行动的可能性。
被利用的可能性：安全团队更加关注黑客在野外积极利用的已知漏洞。
误报：安全团队在投入任何资源之前确保漏洞确实存在。

第三阶段：漏洞解决

安全团队按照优先级漏洞列表进行工作，从最重要到最不重要。组织可以通过三种方式来解决漏洞：

补救措施：完全解决漏洞，使其不再被利用，例如修补操作系统错误、修复错误配置或从网络中删除易受攻击的资产。补救并不总是可行的。对于某些漏洞，在发现时无法提供完整的修复（例如，零日漏洞）。对于其他漏洞，修复将过于耗费资源。
缓解：在不完全消除漏洞的情况下，使漏洞更难被利用或减轻利用的影响。例如，向网络应用程序添加更严格的身份验证和授权措施将使黑客更难劫持帐户。针对已识别的漏洞制定事件响应计划可以减轻网络攻击的打击。当修复不可能或修复成本过高时，安全团队通常会选择缓解措施。
接受：有些漏洞影响很小或不太可能被利用，修复它们并不具有成本效益。在这些情况下，组织可以选择接受该漏洞。

第四阶段：验证和监控

为了验证缓解和补救措施是否按预期发挥作用，安全团队重新扫描并重新测试他们刚刚处理的资产。这些审核有两个主要目的：确定安全团队是否成功解决了所有已知漏洞，并确保缓解和修复不会引入任何新问题。

作为重新评估阶段的一部分，安全团队还更广泛地监控网络。该团队寻找自上次扫描以来的任何新漏洞、已经过时的旧缓解措施或可能需要采取行动的其他更改。所有这些发现都有助于为下一轮生命周期提供信息。

第五阶段：报告和改进

安全团队记录最近一轮生命周期的活动，包括发现的漏洞、采取的解决步骤和结果。这些报告与相关利益相关者共享，包括高管、资产所有者、合规部门等。

安全团队还反思了最近一轮生命周期的进展情况。团队可能会查看关键指标，例如平均检测时间 (MTTD)、平均响应时间 (MTTR)、关键漏洞总数和漏洞复发率。通过随着时间的推移跟踪这些指标，安全团队可以为漏洞管理计划的性能建立基线，并确定随着时间的推移改进计划的机会。从生命周期的一轮中吸取的经验教训可以使下一轮更加有效。