漏洞程序仍然是低效和无效的,这也许不是什么秘密。这就是为什么我最常请求的客户咨询是关于如何优先考虑漏洞修复和改进补丁。根据我在这些咨询中与客户的对话,很明显,漏洞团队为如何计算漏洞和错误配置的风险而不知所措,而运营团队则为越来越多的不现实的补救和缓解截止日期感到沮丧。这两个团队之间的隔阂越来越大。我们是如何走到这一步的?脆弱的团队如何才能重新获得他们曾经拥有的信任?

让我们看一个具体的例子,以更好地理解这种脱节是如何形成的。在2017年,幽灵和崩溃处理器漏洞耗费了安全团队数周的时间。研究人员甚至开发了那些漂亮的营销图形,使它们看起来比实际更可怕。五年后,还没有因这些漏洞而发生的已知入侵报告。由于漏洞难以利用,构成漏洞的三个通用漏洞和暴露(cve)均被授予通用漏洞评分系统(CVSS) 5.6分。缓解芯片漏洞是非常具有挑战性的,当团队匆忙实施缓解系统时,性能会受到严重影响。这是VRM团队如何失去其他内部涉众信任的一个很好的例子。现在必须重新获得这种信任。

企业环境越来越复杂。安全和风险专业人员被迫依赖CVSS分数来确定优先级。这些方法导致基于CVSS创建服务级别协议(sla)。因为CVSS从来不打算在每个企业的独特环境中提供风险优先级,这导致了目标不一致。诸如“在30天内为所有关键的CVSS评分打补丁”之类的sla并不权衡资产关键性的业务环境、针对该漏洞的攻击是否已发布并处于活动状态,以及是否存在可以防止该攻击的补偿控制。漏洞和运营专家还需要权衡如果系统因为打补丁和重新启动而瘫痪对客户和员工体验的影响,以及由于已实现的利用导致漏洞而瘫痪的可能性(以及更重要的影响)。

在11月,我将在华盛顿大学举办一个名为“重塑你的脆弱性管理计划,重获信任”的会议Forrester的安全与风险活动本次演讲将包括优先考虑漏洞修复和重新定义服务级别的方法,这样我们就可以向运营团队伸出橄榄枝,这些团队对VRM团队正在进行的(通常是不准确的)漏洞预测越来越怀疑。我期待着与你们分享重建这种信任所必需的所有策略、争议和沟通方法。

了解更多关于安全与风险活动的信息,请点击这里查看议程