并不是所有的漏洞都创造了一样:专注于最重要的

安全漏洞数量继续上升,优先级是必要的组织能够有效地减少网络的风险。

两年多来,我向各级安全专家解释说,每年显著增加漏洞发现,加上扩大攻击表面从现代网络的出现,创造了完美风暴,埋在一个众所周知的弱点。事实上,我经常抓住他们的注意力,使全面声明:

“不管你的公司规模,你永远不会有足够的人力和财务资源解决每一个漏洞在你的攻击表面。”

但这句话不仅仅是一个营销口号或廉价策略的注意。这是一个事实,各种规模的组织应对每一天。想想看:小公司可能只有成千上万的弱点,但他们也有相应的小团队。事实上,“团队”可能由一个人管理兼职基础上的安全,除了其他的主要责任。在光谱的另一端,大型企业可能有数万数百万漏洞,甚至超过带宽的操作人员配备齐全的数十名专职安全分析师分布在多个团队。

为什么遗留方法不再是可持续的吗

打破这种开放,我们真的只需要问问自己,有多少漏洞可以单个安全分析师处理每天?每周?每个月?当然,答案为每个漏洞可能显著不同,但让我们假定需要大约两个小时完全评估一个漏洞。我相信这是一个公平的估计,考虑到当分析师拉一个漏洞,他们有一个共同的弱点和风险(CVE)条目。

如何从一个毫无意义的CVE ID来对组织的相对重要性的决心吗?通过调查大量公共资源脆弱性的特征信息和它是如何工作的,以及当前和过去的患病率。调查甚至可能包括来源,如社会媒体网站和黑暗网络上喋喋不休。

平均每两小时的脆弱性,分析师只能被合理预期评估四个漏洞,每天或每月约80。即使是最小的组织发现漏洞多,每个月。通过这个镜头,看着它很容易看到81%的安全团队落后他们的评估,没有真正的希望迎头赶上。

关注一些vulns带来实际的风险

当我坚持大声明,你将永远不能解决所有问题,好消息是,你不需要!事实上,奇怪的是,你的团队已经配备足以解决一切真正重要。这是因为,站得住脚的调查显示,只有约20%的漏洞有漏洞,其中只有一小部分实际上是利用在野外。

通过了解你的漏洞在业务风险的背景下,您的团队可以使用这些数据来优化力度,减少风险的最大数量最少的努力。这意味着超越只是普通危险得分系统(CVSS)基础分数还包括上下文元素,比如影响资产的临界不断更新的威胁和利用情报和预测技术来确定哪些漏洞最有可能被利用在不久的将来。

加入精英组risk-minded安全领袖

根据站得住脚的研究,5.5%的组织修复的努力正在取得进展。通过基于风险的脆弱性管理方法,可以是其中之一。基于风险的VM将帮助您理解上下文中的漏洞业务风险,这样你就可以专注于最重要的漏洞和资产。反过来,组织可以集中他们的补救措施的漏洞带来最直接的风险而忽略那些不太可能被利用。

更多地了解具体步骤可以升级你的虚拟机程序,下载免费的导游如何实现基于风险的脆弱性管理。