作為網(wǎng)絡(luò)安全的重中之重，漏洞管理也面臨著效率和成熟度的一次變革， 而工具選型、成熟度模型、落地措施則是實(shí)現(xiàn)高校漏洞管理的重要議題。面對(duì)企業(yè)信息化建設(shè)和安全管理中上述常見(jiàn)的漏洞管理相關(guān)問(wèn)題和需求，安全牛輕報(bào)告系列推出了《2020年高效漏洞管理現(xiàn)狀與趨勢(shì)報(bào)告》，內(nèi)容亮點(diǎn)如下：

一、疫情下的網(wǎng)絡(luò)安全

2020年注定是不平凡的一年，隨著新冠疫情的爆發(fā)，各大遠(yuǎn)程辦公業(yè)務(wù)出現(xiàn)了爆炸式增長(zhǎng)，蓄積已久的遠(yuǎn)程辦公時(shí)代提前到來(lái)。然而，伴隨而來(lái)的是網(wǎng)絡(luò)漏洞數(shù)量激增，網(wǎng)絡(luò)病毒、黑客攻擊迅速升級(jí)?？梢哉f(shuō)，沒(méi)有網(wǎng)絡(luò)安全漏洞，就沒(méi)有網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)威脅。

二、2019年重大漏洞盤(pán)點(diǎn)

根據(jù)《瑞星2019年中國(guó)網(wǎng)絡(luò)安全報(bào)告》，2019年被黑客利用的十大漏洞中，90%的攻擊來(lái)自如下四個(gè)漏洞：

l CVE-2014-6332 IE遠(yuǎn)程代碼執(zhí)行漏洞

l CVE-2016-7255 Win32k特權(quán)提升漏洞

l CVE-2017-11882 Office遠(yuǎn)程代碼執(zhí)行漏洞

l CVE-2010-2568漏洞

圖 1 2019年被黑客利用的十大漏洞

圖 2 瑞星公司評(píng)選出的2019年CVE漏洞利用Top10

三、2019年全球受網(wǎng)絡(luò)攻擊行業(yè)排名

根據(jù)《X-Force威脅情報(bào)指數(shù)2020》報(bào)告的描述：2019年零售業(yè)躍居第二大受攻擊行業(yè)，與金融服務(wù)業(yè)的競(jìng)爭(zhēng)非常激烈，金融服務(wù)業(yè)已連續(xù)第四年保持高位。

圖 3 遭受網(wǎng)絡(luò)攻擊最嚴(yán)重的的10大行業(yè)排名

四、2020年漏洞管理新趨勢(shì)

01、威脅情報(bào)與漏洞管理

《威脅情報(bào)手冊(cè)》（第二版）告訴我們：“過(guò)去的十年中，盡管每年出現(xiàn)大量的攻擊和威脅，但是它們中只有很小的比例是源于安全漏洞”。

圖 4需要引起注意的關(guān)鍵漏洞

《威脅情報(bào)手冊(cè)》給我們的建議：

l 0-Day不代表最高的優(yōu)先級(jí)；

l 爭(zhēng)取時(shí)間是關(guān)鍵；

l 嚴(yán)重程度評(píng)級(jí)可能會(huì)產(chǎn)生誤導(dǎo)；

l 評(píng)估風(fēng)險(xiǎn)的最有效方法是綜合分析。

02、SOAR與漏洞管理

SOAR的概念來(lái)自于Gartener，它是指安全編排、自動(dòng)化及響應(yīng)，是安全協(xié)調(diào)和自動(dòng)化，安全事件響應(yīng)和威脅情報(bào)的結(jié)合體。SOAR能給我們帶來(lái)的：

l 更快速的威脅檢測(cè)

l 優(yōu)化稀缺資源

l 實(shí)現(xiàn)不可能

五、全球（僅海外部分）漏管工具全景矩陣

我們對(duì)Cappterra網(wǎng)站中搜索熱度排名Top30的漏洞管理產(chǎn)品進(jìn)行了分析，將用戶(hù)感受和產(chǎn)品功能的多項(xiàng)指標(biāo)歸類(lèi)綜合，提取了用戶(hù)評(píng)價(jià)總分、產(chǎn)品豐富度兩個(gè)指標(biāo)，形成了《2020年漏洞管理工具綜合評(píng)分表》和《2020年漏洞管理工具導(dǎo)航地圖》。

表 1 2020年漏洞管理工具綜合評(píng)分表（TOP30完整統(tǒng)計(jì)表格請(qǐng)參考報(bào)告原文）

（注：紅色區(qū)域代表綜合評(píng)價(jià)指標(biāo)，綠色區(qū)域代表未獲得相關(guān)數(shù)據(jù)，灰色區(qū)域代表漏掃工具三大重點(diǎn)指標(biāo)全部得分的產(chǎn)品。）

圖 5 2020年漏洞管理工具選購(gòu)導(dǎo)航地圖

（注：橫軸表示用戶(hù)評(píng)分，縱軸表示功能豐富度，紅色文字為漏洞管理工具三大主要功能滿(mǎn)分）

六、漏洞管理成熟度模型

漏洞管理成熟度模型是為了幫助企業(yè)衡量其漏洞管理水平的成熟度，漏洞管理成熟度模型主要包括如下5個(gè)階段：

1、“初始階段”。處在這一階段的公司企業(yè)要么沒(méi)有任何漏洞管理措施，要么只做臨時(shí)性的測(cè)試。
2、“已管理階段”。處于這個(gè)階段的企業(yè)可以自發(fā)在內(nèi)部開(kāi)展漏洞掃描工作，每周或者每月固定開(kāi)展，但是往往是為了應(yīng)對(duì)外部監(jiān)管。
3、“已定義階段”。該階段的漏洞管理工作為公司所理解，也受到管理層的一定支持，漏洞掃描更為頻繁。
4、“量化管理階段”。處在這一階段的公司企業(yè)有可量化、可度量的指標(biāo)，定義可接受的風(fēng)險(xiǎn)水平。
5、“優(yōu)化管理階段”。在這一階段，使用第四階段定義的度量指標(biāo)用實(shí)現(xiàn)管理提升和優(yōu)化，所有的優(yōu)化指標(biāo)都用于減少組織的受攻擊面。

圖 6 漏洞管理成熟度模型示意圖

關(guān)于漏洞管理，安全牛為您提供了7個(gè)原則和6個(gè)錦囊，給企業(yè)安全漏洞管理提供一些借鑒的經(jīng)驗(yàn)。

7個(gè)原則是：

贏得高層支持

以資產(chǎn)發(fā)現(xiàn)為基本點(diǎn)

高頻掃描

融入業(yè)務(wù)環(huán)境

例外不是借口

指標(biāo)化管理

漏洞修復(fù)重在流程整合

6個(gè)錦囊是：

對(duì)關(guān)鍵資產(chǎn)清單進(jìn)行及時(shí)更新

引入威脅情報(bào)，為漏洞修復(fù)提供支持

建立相關(guān)的安全合規(guī)基線

使用持續(xù)的安全評(píng)估

建立漏洞修復(fù)優(yōu)先級(jí)排序

建立自動(dòng)化漏洞修復(fù)方案

七、結(jié)語(yǔ)

正如2020年人類(lèi)世界的這場(chǎng)病毒一樣，病毒無(wú)法被消滅，只有人類(lèi)學(xué)會(huì)免疫，才能更加健康，網(wǎng)絡(luò)世界中，安全漏洞此消彼長(zhǎng)，不能一勞永逸，只有在科學(xué)的指引下實(shí)現(xiàn)高效管理，網(wǎng)絡(luò)才會(huì)變得更加安全與健壯。正如卡耐基梅隆大學(xué)教授Brumley所言：所謂的安全性不是指“安全”或“不安全”，而是取決于你行動(dòng)的速度。只有高效漏洞管理，才是最有效的漏洞管理。

來(lái)源︱安全牛https://www.aqniu.com/industry/67910.html

作者︱aqniu