为什么正确的指标对于漏洞管理很重要

发布于 作者:

为什么正确的指标对于漏洞管理很重要

原创 铸盾安全 河南等级保护测评 2024-02-16 00:00

您的漏洞管理计划进展如何?有效果吗?成功?说实话,如果没有正确的指标或分析,您如何知道您的表现、进展情况或是否获得了投资回报率?如果您不进行测量,您怎么知道它是否有效?

即使您正在进行衡量,错误的报告或关注错误的指标也可能会造成盲点,并使向其他业务部门传达任何风险变得更加困难。

那么你怎么知道要关注什么?网络卫生、扫描覆盖范围、平均修复时间、漏洞严重性、修复率、漏洞暴露……这个列表是无穷无尽的。市场上的每种工具都提供不同的指标,因此很难知道什么是重要的。

本文将帮助您识别和定义跟踪漏洞管理计划的状态和所取得的进展所需的关键指标,以便您可以创建以下审计就绪报告:
– 证明您的安全态势

  • 满足漏洞修复 SLA 和基准

  • 帮助通过审核和合规性

  • 展示安全工具的投资回报率

  • 简化风险分析

  • 优先分配资源

为什么需要衡量漏洞管理#

指标在衡量漏洞和攻击面管理
的有效性方面发挥着关键作用
。衡量发现缺陷、确定缺陷优先级和修复缺陷的速度意味着您可以持续监控和优化安全性。

通过正确的分析,您可以了解哪些问题更为关键,确定首先要解决的问题的优先级,并衡量您的工作进度。最终,正确的指标可以让您做出明智的决策,从而将资源分配到正确的地方。

发现的漏洞数量始终是一个很好的起点,但它并不能单独告诉您太多信息 – 如果没有优先级、建议和进展,您从哪里开始?查找、优先处理和修复最关键的漏洞对于您的业务运营和数据安全来说比简单地查找每个漏洞重要得多。

智能优先级划分和过滤噪音非常重要,因为当您被非必要信息淹没时,很容易忽视真正的安全威胁。智能结果通过优先考虑对您的安全有真正影响的问题,使您的工作变得更轻松,而不会给您带来不相关的弱点的负担。

例如,面向互联网的系统是黑客最容易的目标。优先考虑暴露的问题可以更轻松地最小化攻击面。
工具
通过用易于理解的语言解释真正的风险并提供补救建议,使漏洞管理变得容易,即使对于非专家来说也是如此。但除了优先级之外,您还应该或可以衡量什么?

工具的漏洞管理报告页面示例

每个漏洞管理计划的 5 个首要指标#

扫描覆盖范围#

您正在跟踪和扫描什么?扫描覆盖范围包括您覆盖的所有资产以及所有关键业务资产和应用程序的分析,以及提供的身份验证类型(例如,基于用户名和密码,或未经身份验证)。

随着攻击面随着时间的推移而演变、变化和增长,监控所覆盖的内容和 IT 环境的任何变化(例如最近打开的端口和服务)非常重要。现代扫描仪将检测您可能不知道的部署,并防止您的敏感数据无意中暴露。它还应该监视您的云系统的变化,发现新资产,并自动将您的 IP 或主机名与云集成同步。

平均修复时间#

您的团队修复关键漏洞所需的时间揭示了您的团队对任何报告的漏洞结果做出反应的响应速度。该值应该始终较低,因为安全团队负责解决问题并向管理层提供补救消息和行动计划。它还应该基于您预定义的 SLA。漏洞的严重程度应该有相应的相对或绝对的计划和修复时间。

风险评分#

每个问题的严重性由扫描仪自动计算,通常为“严重”、“高”或“中”。如果您决定不在指定时间段内修补特定漏洞或一组漏洞,则视为接受风险。使用 Intruder,如果您愿意接受风险并且有缓解因素,则可以推迟问题。

例如,当您准备进行 SOC2 或 ISO 审核时,您可能会发现一个关键风险,您可能愿意接受它,因为修复该风险所需的资源并不符合实际风险级别或对风险的潜在影响。这生意。当然,在报告方面,您的 CTO 可能想知道有多少问题被推迟以及原因!

问题#

这是从漏洞公开到扫描所有目标并检测任何问题的关键点。从本质上讲,是指在攻击面上检测到漏洞的速度有多快,以便您可以修复它们并减少攻击者的机会之窗。

这在实践中意味着什么?如果您的攻击面不断增加,您可能会发现全面扫描所有内容需要更长的时间,并且平均检测时间也可能会增加。相反,如果您的平均检测时间保持不变或下降,则说明您正在有效地利用资源。如果您开始看到相反的情况,您应该问自己为什么需要更长的时间才能检测到事物?如果答案是攻击面已经扩大,也许您需要对工具和安全团队进行更多投资。

为什么正确的指标对于漏洞管理很重要 -2

衡量进展#

优先级(或智能结果)对于帮助您决定首先修复什么非常重要,因为它对您的业务有潜在影响。过滤掉噪音并帮助减少误报,这是一个需要跟踪的关键指标,因为一旦减少了噪音量,您就可以回过头来关注最重要的指标——平均修复时间。

为什么这很重要?因为当您确实发现问题时,您希望能够尽快解决它。工具使用多个扫描引擎来解释输出并根据上下文对结果进行优先级排序,因此您可以节省时间并专注于真正重要的事情。

攻击面监控

这可以帮助您了解整个攻击面受保护的资产(已发现或未发现)的百分比。当您的团队启动新应用程序时,漏洞扫描程序应检查新服务何时暴露,以便您可以防止数据无意中暴露。现代扫描仪监控您的云系统的变化,查找新资产,并将您的 IP 或主机名与您的集成同步。

为什么这很重要?您的攻击面将不可避免地随着时间的推移而演变,从开放端口到启动新的云实例,您需要监控这些变化以最大程度地减少暴露。这就是我们的攻击面发现的用武之地。在指定时间段内发现的新服务数量可以帮助您了解攻击面是否在增长(无论是有意还是无意)。

为什么这些指标很重要#

现代攻击面管理工具可以衡量最重要的内容。它们帮助为利益相关者提供报告、优先考虑漏洞的合规性以及与问题跟踪工具的集成。您可以了解哪些内容容易受到攻击,并获得管理网络风险所需的确切优先级、补救措施、见解和自动化。