什么是基于风险的漏洞管理

引言

RBVM，即基于风险的漏洞管理，是一种网络安全方法，它根据漏洞可能给组织带来的风险对其进行排序。它不仅承认风险，还解释了风险与组织的关系，从而提出适当的行动建议。该方法不只关注网络边界——这是动态的数字环境目标，容易被传统方法忽略——而是考虑了云服务，包括操作系统等物联网（IoT）设备。

什么是基于风险的漏洞管理？

RBVM 的基本思想是将风险评估整合到漏洞管理流程中。通过利用机器学习自动化流程并应用预测性分析，RBVM 系统可以预测最有可能被利用的漏洞点。通过根据资产重要性对漏洞进行排序，组织可以将其注意力集中在风险最高的领域。这种技术考虑了对组织运营的威胁和潜在的业务后果。

公司可以使用 RBVM 软件来提供这些组件。RBVM 软件可以在以下方面提供帮助：

• 查找 IT 环境中已安装的软件、操作系统和固件漏洞。
• 根据组织的风险特征对漏洞进行排序。
• 实现自动化修复。

制定基于风险的策略

为了制定强大的基于风险的策略，企业必须仔细识别和评估其环境中的所有弱点。需要持续进行漏洞扫描，以确保不会错过任何严重的漏洞。这对于各种 IT 架构尤其重要，包括本地服务器和基础架构上的应用程序资产，以及云服务器和基础架构。拥有最新的资产清单有助于安全团队更好地了解自身的优势和易受攻击的区域。

风险评估框架

有效的基于风险的漏洞管理取决于采用合适的风险评估框架。为了协助进行风险评估，组织可能需要考虑使用 ISO 31000、OCTAVE 或 NIST 风险管理框架。除了系统的风险识别、测量、优先级排序和缓解之外，这些系统还能执行多种功能。通过整合这些解决方案，企业可以获得与运营目标相匹配的安全存档，并实现安全措施。

如何设计有效的基于风险的漏洞管理计划？

一个有效的基于风险的漏洞管理（RBVM）计划需要一些步骤和要素。这是一个需要遵循的系统性方法：

• 目标： 明确阐述计划的目的（例如，降低业务风险、改进响应或匹配目标）。正如 ABI Research 本月建议的那样，在设定目标时，尝试将关键漏洞减少指定的百分比。
• 识别资源： 确保您拥有公司所有资产的详细清单，包括系统、数据和应用程序。根据处理数据的性质以及公司运营的重要性，应按照主要分类标准对资产进行分组。
• VAPT 和扫描： 应使用可靠的漏洞扫描解决方案对所有资产进行定期的漏洞扫描。您应该使用漏洞优先级系统（如 CVSS）进行严重性排序，但同时也要考虑业务考量，例如资产的关键程度以及其暴露于现实威胁场景的程度。
• 缓解和修复： 根据危险程度对漏洞进行优先级排序。建立一个管理良好的补丁流程，以确保及时应用安全更新。

RBVM 最佳实践

以下是一些最佳实践：

• 持续收集和检查整个攻击面中的数据。
• 这不仅包括典型的 IT，还包括所有终端、移动设备、云环境、Web 应用程序、容器、IoT、IIoT 和 OT。
• 使用自动化来简化配置管理、资产管理、事件响应和变更管理等流程。
• 获取一个具有用户友好型分析功能和可自定义报告的基于风险的漏洞管理系统。确保这些报告满足您组织的需求，并能根据公司变化进行扩展。
• 利用指标和分析来传达您计划的成功水平以及其成就与期望之间的任何差距。这些指标对于向非网络安全专家传达技术信息很有用，因为它们能提供特定角色的见解。例如，向高管展示安全问题时，使用与业务目标或宗旨相关的信息。
• 通过分析和数据确定您在资产清点和收集评估信息方面的能力。同时，也要包含成功指标，以确定团队成员纠正已优先处理的弱点的程度（包括所使用的修复策略/时间框架）。

传统漏洞管理与基于风险的管理

传统的或遗留的漏洞管理技术为企业提供了大量的安全支持，但它们并不适合基于风险的策略。

这些工具扫描公司的网络、系统和应用程序，查找黑客可能利用的安全漏洞，例如开放端口、不当配置或软件故障。

某些传统的漏洞管理技术可以帮助确定应首先修补哪些漏洞，尽管它们优先处理的是通用事实和通用上下文。结果，典型组织的安全性出现了漏洞和盲点。这是因为在决定需要修复哪些漏洞时，传统漏洞管理并未充分考虑到特定企业的风险状况。

因此，安全和 IT 团队经常会忽略那些对组织风险更大的漏洞，而优先处理风险较低的问题。

另一方面，RBVM 产品利用人工智能 (AI) 和机器学习 (ML) 分析来评估组织的 IT 环境、攻击面、资产关键程度和威胁行为者活动，从而根据风险对漏洞进行分类。随后，它们会优先处理需要最多关注的漏洞，从风险最高的开始。

此外，与许多以前的漏洞管理系统相比，RBVM 技术可以评估组织 IT 生态系统中更大比例的范围，包括容器和物联网设备。

RBVM 工具如何评估风险。

在传统的漏洞管理方法中，漏洞是使用通用数据进行评分的，即使用通用漏洞评分系统 (CVSS)，这是一个由非营利性事件响应和安全团队论坛管理的公开框架。使用多个指标来确定这些分数，分数范围从 0（最不严重）到 10（最严重）。

使用 CVSS 可以对组织的漏洞管理计划产生显著的积极影响。

但是，除了漏洞严重性之外，RBVM 产品还提供其他框架和数据，例如资产关键程度和威胁行为者活动，从而为每个组织提供定制化的分数。

RBVM 的重要性

美国国家标准与技术研究院（NIST）通过其国家漏洞数据库（National Vulnerability Database）维护着一个已知漏洞的数据库。这意味着每周都会增加数百个通用漏洞和暴露（CVE），每月会增加数千个。NIST 每天可以在其仪表板中添加数十个 CVE。在 2024 年春季，NIST 的仪表板上可见的 CVE 约有 250,000 个。

尽管 NIST 将它们分为四个严重程度级别（关键、高、中、低），但大多数组织都难以按此方式集中修复工作。严重漏洞的数量太多了。

在这种情况下，RBVM 可以发挥作用。它为这些漏洞对特定业务的重要性提供了背景信息，需要解决数量异常高的漏洞，并为修复工作创建了一个可行的计划。

RBVM 工具根据可发现性、可利用性和其他威胁情报来评估漏洞，以确定哪些漏洞对企业构成最大风险。除了公司资产和对组织的潜在影响之外，它们还考虑其他风险因素。

通过这种分析，RBVM 技术可以将已知的海量漏洞减少到那些需要组织立即关注的漏洞。

通过自动化重复的手动修复工作，可以进一步将 IT 和安全团队解放出来，专注于更高价值的项目。为此使用了 AI 和其他自动化技术。

基于风险的漏洞管理的优势

1. 增强安全焦点： 通过使用基于风险的漏洞管理（RBVM），组织可以专注于最重要的威胁，因为它对最危险的漏洞进行了排序。因此，稀缺的资源不会被用于低风险漏洞，从而增强了对这些攻击的防御。

2. 更好的可见性： 这种基于风险的漏洞管理方法确保了所有资产在所有攻击面上的可见性。一些现有资产，如基于云的应用程序以及移动设备，通常不会集成到支持它们的遗留系统中。

3. 资源利用效率高： 通过更专注于关键漏洞领域，同时最大限度地减少在不相关风险上花费的时间和成本，可以最有效地利用公司资源。例如，RBVM 系统通过集成人工智能（AI）和机器学习等现代技术来快速检测和修复威胁，从而提高安全部门的效率。使用这种策略可以优化财务和人力资源的分配。

4. 持续保护： 与捕获静态快照和呈现过时发现不同，当前的基于风险的漏洞管理技术会持续监控环境。这有助于公司在弱点出现时及时发现。

5. 提高效率： 基于风险的漏洞管理使用尖端技术自动化了评估过程中的多个步骤。此外，它使 IT 团队能够专注于高价值工作，而不是将时间浪费在例行任务自动化上。

6. 增强协作： 通过减少嘈杂的安全待办事项列表并突出公司面临的最严重风险，RBVM 还能增强团队合作。通过减少漏洞警报的数量，它促进了安全团队和开发团队在解决安全漏洞方面的协作。

基于风险的漏洞管理的缺点

1. 复杂性和资源需求： RBVM 的实施是资源密集且复杂的。这包括了解公司的资产、潜在威胁以及它们之间的联系。对于小型组织来说，可能难以投入所需的时间、专业知识和知识。

2. 威胁演变： 威胁格局变化 constantly，每天都有新的漏洞被发现。难以跟踪这些变化，因此需要不断更新和监控风险评估，以保持其相关性。

3. 数据可用性和质量： 良好的数据质量是 RBVM 有效准确识别风险的主要要求。因此，糟糕的数据质量，即不完整、过时或不准确的数据，往往会导致关注错误的风险，从而导致漏洞管理无效。

4. 过度强调自动化： 虽然自动化有助于改进 RBVM 流程；但它也存在一定程度的风险。自动化工具有时会忽略组织内部特定漏洞的上下文，从而有时会导致疏忽。

5. 依赖于准确的资产清单： 如果没有准确且最新的资产清单，RBVM 就无法成功。不完整或过时的资产清单可能导致风险评估不准确和漏洞被忽略。

结论

日益复杂的威胁使得基于风险的漏洞管理对于增强组织的网络安全变得不可或缺。通过使用（RBVM）框架，组织可以更有效地确定漏洞的优先级并加以解决，从而使他们能够专注于对运营构成更高风险的漏洞。以实现既定业务目标为中心的安全运营，可以有效利用宝贵的资源并保护有价值的资产免受严重的网络威胁。