漏洞防護與修復工做

漏洞管理工做是企業安全建設必不可少的一環，在風險管理工做中，漏洞管理可以防患於未然，企業對漏洞管理有着普遍的基礎建設和實踐經驗。但隨着攻防技術的發展，傳統漏洞管理的安全技術和管理過程，開始面對愈來愈多的挑戰。怎樣提升企業的漏洞管理水平成了安全管理人員須要去思考的問題。

從內部來看，已經制定了漏洞管理制度，有專人負責漏洞掃描和修補，但出現緊急漏洞仍是手忙腳亂，仍然是疲於應對不斷髮現的漏洞，在接受監管檢查的時候老是有漏洞被發現。
從外部來看，漏洞已經成爲當前IT領域的熱門話題之一。首先，從攻防的不對等角度來講，攻擊者對漏洞的利用早已造成了產業化，攻擊者利用漏洞的時間窗遠遠小於防護者完成漏洞修復的時間窗。其次，隨着信息技術的發展，大量應用的推廣必然會帶來大量的漏洞爆發。
怎樣提升企業的漏洞管理水平成了安全管理人員須要去思考的問題，而漏洞管理中漏洞修復工做是尤爲重要的。

1、漏洞修復現狀

首先了解一下影響漏洞修復的幾個主要緣由：
企業隨着業務的增加，資產數量也在瘋狂的增加，外部漏洞披露逐年增多，致使企業漏洞數量也隨之增多，漏洞修復速度遠遠達不到漏洞產生的速度，就會致使漏洞逐年積壓，造成企業漏洞管理頑疾。
企業內部創建漏洞管理機制，可是漏洞管理很重要的一部分是流程管理環節，其中會涉及到企業內部衆多部門協調工做，針對漏洞管理人員的職責不明確，缺少領導人員監督執行。致使企業漏洞管理淪爲紙上談兵。
企業內部漏洞修復工做缺少量化指標，致使漏洞修復成果不清晰，沒有具體量化指標來約束負責漏洞管理工做的人員，也沒有辦法來獎勵負責漏洞管理工做的人員，致使相關人員工做積極性降低。
漏洞修復工做涉及資產範圍廣，某些漏洞修復工做對技術要求高，運維人員修復難度大，須要更有效、更全面和更權威的漏洞解決方案來指導運維人員進行漏洞修復，依靠傳統的技術很難徹底覆蓋全部的漏洞修復解決方案。

2、提升漏洞修復工做的方法

漏洞修復工做做爲漏洞管理的核心，依靠傳統的漏洞掃描設備或解決方案已不能知足當下漏洞修復碰見的問題，須要企業利用新的技術手段搭建適合自身漏洞管理現狀的漏洞管理平臺來實現漏洞管理工做，而在漏洞平臺搭建中對於漏洞修復方面的建設能夠考慮如下幾個方向。

1. 漏洞修復優先級

在漏洞修復工做中引入漏洞修復優先級的概念，而漏洞修復優先級的參考因子能夠有資產重要性、漏洞POC、資產防護狀況、漏洞熱度等，同時利用絕對條件的因數對漏洞進行過濾，絕對條件即爲符合這類條件的漏洞若是按優先級評分來講只會有0或者100的兩個極端分值，對於運維人員來講能夠根據分值很好的去判斷是否修復此類漏洞，一類是必須修復的狀況：如面向互聯網的重要資產發現可利用高危漏洞;一類是沒法修復的狀況：如內部進行物理隔離的核心業務系統。依據漏洞優先級評分來進行漏洞優先修復工做時，還須要對最終的優先級評分進行人工的修正，保證得出的優先級是具備參考價值的。漏洞修復優先級的概念是爲了解決企業在面對大量漏洞的狀況下，如何作到更好的利用企業資源優先處理緊急程度更高的漏洞。

2. 漏洞修復流程優化

把漏洞修復流程的每一個環節與響應人員進行綁定，不只僅只限於不一樣運維人員或安全人員，同時還要要求相應的領導決策人員加入，提升漏洞修復響應的效率，同時監督漏洞修復流程的進行。

漏洞修復流程必須嚴格明確：

(1) 漏洞發現階段由企業安全人員進行，而後把發現的漏洞轉送至相應資產運維人員;
(2) 漏洞處理階段由運維人員進行，針對漏洞作出相應操做;
接受風險是運維人員根據實際狀況進行判斷，如業務影響狀況、資產重要性等，運維人員能夠手工把漏洞狀態在待修復和接受風險之間進行轉換。
單次忽略即爲本次掃描忽略這個漏洞，但下次掃描還會掃出此漏洞，永久忽略即爲之後永遠忽略這個漏洞，除非人工進行漏洞轉態轉移到發現裏面。
(3) 漏洞驗證階段爲安全人員和運維人員相互配合;
當運維人員把待修復漏洞轉換到已修復轉態，安全人員必需要對漏洞修復狀況進行復查，若是再次掃描發現漏洞依然存在，則歸爲修復失敗，對於修復失敗的漏洞要從新轉換到漏洞發現狀態。
若是再次掃描漏洞不存在，則歸爲已驗證狀態，同時若是後期屢次掃描過程當中由於資產自己變化致使漏洞復現，漏洞狀態轉換爲再次發現，對於再次發現的漏洞要及時轉至待修復狀態。
(4) 在漏洞發現到漏洞修復的流程轉換過程當中，必須有領導決策人員知曉，以達到監督漏洞管理流程正常有效運轉的目的;
(5) 同時按期輸出漏洞修復狀況報告給到領導決策人員，使其瞭解企業漏洞管理現狀。
(6) 針對漏洞修復的各個轉態轉換進行追蹤審計，記錄修復時間、處理人員和處理反饋等。

3. 漏洞修復量化

在漏洞修復工做中把企業內部各部門或子公司作爲一個漏洞修復統計對象，經過按期對修復成果進行統計，如修復漏洞數、修復漏洞耗時、修復漏洞成功率等，經過漏洞管理平臺作統一展現、企業內部按期通報甚至或者引入績效體系，利用漏洞修復量化的這樣理念來提升漏洞修復人員的積極性，同時利用漏洞修復量化的方式使得企業管理者能清楚的瞭解當前漏洞管理情況，爲漏洞管理的決策工做提供更好的依據。

4. 漏洞修復知識庫

漏洞修復知識庫的創建，一方面是爲運維人員提供一個全面、權威和有效的漏洞修復指導方案庫;另外一方面也是保證漏洞修復工做能更有效進行，減小漏洞修復的失敗率。漏洞知識庫創建能夠考慮三個方面入手，一是參考漏洞掃描設備的標準解決方案做爲基礎;二是利用多方威脅情報數據，錄入更多的解決方案做爲參考;三是人工按期整理已驗證過的漏洞修復方案做爲權威標準方案。