漏洞防护与修复工做

漏洞管理工做是企业安全建设必不可少的一环，在风险管理工做中，漏洞管理可以防患于未然，企业对漏洞管理有着普遍的基础建设和实践经验。但随着攻防技术的发展，传统漏洞管理的安全技术和管理过程，开始面对愈来愈多的挑战。怎样提升企业的漏洞管理水平成了安全管理人员须要去思考的问题。

从内部来看，已经制定了漏洞管理制度，有专人负责漏洞扫描和修补，但出现紧急漏洞仍是手忙脚乱，仍然是疲于应对不断发现的漏洞，在接受监管检查的时候老是有漏洞被发现。
从外部来看，漏洞已经成为当前IT领域的热门话题之一。首先，从攻防的不对等角度来讲，攻击者对漏洞的利用早已造成了产业化，攻击者利用漏洞的时间窗远远小于防护者完成漏洞修复的时间窗。其次，随着信息技术的发展，大量应用的推广必然会带来大量的漏洞爆发。
怎样提升企业的漏洞管理水平成了安全管理人员须要去思考的问题，而漏洞管理中漏洞修复工做是尤为重要的。

1、漏洞修复现状

首先了解一下影响漏洞修复的几个主要缘由：
企业随着业务的增加，资产数量也在疯狂的增加，外部漏洞披露逐年增多，致使企业漏洞数量也随之增多，漏洞修复速度远远达不到漏洞产生的速度，就会致使漏洞逐年积压，造成企业漏洞管理顽疾。
企业内部创建漏洞管理机制，可是漏洞管理很重要的一部分是流程管理环节，其中会涉及到企业内部众多部门协调工做，针对漏洞管理人员的职责不明确，缺少领导人员监督执行。致使企业漏洞管理沦为纸上谈兵。
企业内部漏洞修复工做缺少量化指标，致使漏洞修复成果不清晰，没有具体量化指标来约束负责漏洞管理工做的人员，也没有办法来奖励负责漏洞管理工做的人员，致使相关人员工做积极性降低。
漏洞修复工做涉及资产范围广，某些漏洞修复工做对技术要求高，运维人员修复难度大，须要更有效、更全面和更权威的漏洞解决方案来指导运维人员进行漏洞修复，依靠传统的技术很难彻底覆盖全部的漏洞修复解决方案。

2、提升漏洞修复工做的方法

漏洞修复工做做为漏洞管理的核心，依靠传统的漏洞扫描设备或解决方案已不能知足当下漏洞修复碰见的问题，须要企业利用新的技术手段搭建适合自身漏洞管理现状的漏洞管理平台来实现漏洞管理工做，而在漏洞平台搭建中对于漏洞修复方面的建设能够考虑如下几个方向。

1. 漏洞修复优先级

在漏洞修复工做中引入漏洞修复优先级的概念，而漏洞修复优先级的参考因子能够有资产重要性、漏洞POC、资产防护状况、漏洞热度等，同时利用绝对条件的因数对漏洞进行过滤，绝对条件即为符合这类条件的漏洞若是按优先级评分来讲只会有0或者100的两个极端分值，对于运维人员来讲能够根据分值很好的去判断是否修复此类漏洞，一类是必须修复的状况：如面向互联网的重要资产发现可利用高危漏洞;一类是没法修复的状况：如内部进行物理隔离的核心业务系统。依据漏洞优先级评分来进行漏洞优先修复工做时，还须要对最终的优先级评分进行人工的修正，保证得出的优先级是具备参考价值的。漏洞修复优先级的概念是为了解决企业在面对大量漏洞的状况下，如何作到更好的利用企业资源优先处理紧急程度更高的漏洞。

2. 漏洞修复流程优化

把漏洞修复流程的每一个环节与响应人员进行绑定，不只仅只限于不一样运维人员或安全人员，同时还要要求相应的领导决策人员加入，提升漏洞修复响应的效率，同时监督漏洞修复流程的进行。

漏洞修复流程必须严格明确：

(1) 漏洞发现阶段由企业安全人员进行，而后把发现的漏洞转送至相应资产运维人员;
(2) 漏洞处理阶段由运维人员进行，针对漏洞作出相应操做;
接受风险是运维人员根据实际状况进行判断，如业务影响状况、资产重要性等，运维人员能够手工把漏洞状态在待修复和接受风险之间进行转换。
单次忽略即为本次扫描忽略这个漏洞，但下次扫描还会扫出此漏洞，永久忽略即为之后永远忽略这个漏洞，除非人工进行漏洞转态转移到发现里面。
(3) 漏洞验证阶段为安全人员和运维人员相互配合;
当运维人员把待修复漏洞转换到已修复转态，安全人员必需要对漏洞修复状况进行复查，若是再次扫描发现漏洞依然存在，则归为修复失败，对于修复失败的漏洞要从新转换到漏洞发现状态。
若是再次扫描漏洞不存在，则归为已验证状态，同时若是后期屡次扫描过程当中由于资产自己变化致使漏洞复现，漏洞状态转换为再次发现，对于再次发现的漏洞要及时转至待修复状态。
(4) 在漏洞发现到漏洞修复的流程转换过程当中，必须有领导决策人员知晓，以达到监督漏洞管理流程正常有效运转的目的;
(5) 同时按期输出漏洞修复状况报告给到领导决策人员，使其了解企业漏洞管理现状。
(6) 针对漏洞修复的各个转态转换进行追踪审计，记录修复时间、处理人员和处理反馈等。

3. 漏洞修复量化

在漏洞修复工做中把企业内部各部门或子公司作为一个漏洞修复统计对象，经过按期对修复成果进行统计，如修复漏洞数、修复漏洞耗时、修复漏洞成功率等，经过漏洞管理平台作统一展现、企业内部按期通报甚至或者引入绩效体系，利用漏洞修复量化的这样理念来提升漏洞修复人员的积极性，同时利用漏洞修复量化的方式使得企业管理者能清楚的了解当前漏洞管理情况，为漏洞管理的决策工做提供更好的依据。

4. 漏洞修复知识库

漏洞修复知识库的创建，一方面是为运维人员提供一个全面、权威和有效的漏洞修复指导方案库;另外一方面也是保证漏洞修复工做能更有效进行，减小漏洞修复的失败率。漏洞知识库创建能够考虑三个方面入手，一是参考漏洞扫描设备的标准解决方案做为基础;二是利用多方威胁情报数据，录入更多的解决方案做为参考;三是人工按期整理已验证过的漏洞修复方案做为权威标准方案。