干貨分享 | 如何做好基于風(fēng)險(xiǎn)的漏洞管理

了解和識(shí)別正試圖保護(hù)的服務(wù)和應(yīng)用程序，并進(jìn)行優(yōu)先分析。評(píng)估現(xiàn)有的保護(hù)能力并找出差距。缺乏這些信息，就無(wú)法決定哪些漏洞最值得關(guān)注。

步驟：

Tenable 能夠發(fā)現(xiàn)整個(gè)攻擊面，包括本地基礎(chǔ)設(shè)施、端點(diǎn)、云、Web 應(yīng)用程序、容器、移動(dòng)設(shè)備和 OT。

規(guī)劃并實(shí)施基于風(fēng)險(xiǎn)的漏洞管理部署中的所有流程、產(chǎn)品和集成。

步驟：

目標(biāo)：

傳感器部署和集成策略涵蓋所有范圍內(nèi)的資產(chǎn)。為自動(dòng)化的安全和 IT 運(yùn)營(yíng)而部署集成。 

Tenable 在設(shè)計(jì)和部署基于風(fēng)險(xiǎn)的漏洞管理流程和技術(shù)方面擁有無(wú)可比擬的經(jīng)驗(yàn)，包括通過(guò)集成簡(jiǎn)化安全和 IT。

識(shí)別、發(fā)現(xiàn)并定位整個(gè)環(huán)境中的資產(chǎn)，從而分發(fā)、排序并報(bào)告資產(chǎn)漏洞數(shù)據(jù)。

步驟：

目標(biāo)：

識(shí)別、分類(lèi)和標(biāo)記整個(gè)環(huán)境中的所有資產(chǎn)。實(shí)現(xiàn)集成，以協(xié)助資產(chǎn)分類(lèi)。評(píng)估性能符合要求。

Tenable通過(guò)主動(dòng)掃描、被動(dòng)監(jiān)控、API 和集成發(fā)現(xiàn)整個(gè)環(huán)境中的資產(chǎn)。

評(píng)估范圍內(nèi)已發(fā)現(xiàn)的資產(chǎn)，以識(shí)別其中的漏洞。

步驟：

目標(biāo)：

識(shí)別、分類(lèi)和標(biāo)記整個(gè)環(huán)境中的所有資產(chǎn)。實(shí)現(xiàn)集成，以協(xié)助資產(chǎn)分類(lèi)。評(píng)估性能符合要求。

Tenable 能夠全面評(píng)估整個(gè)攻擊面，包括本地基礎(chǔ)設(shè)施、端點(diǎn)、云基礎(chǔ)設(shè)施、Web 應(yīng)用程序、容器、移動(dòng)設(shè)備和運(yùn)營(yíng)技術(shù)。

鞏固資產(chǎn)，以減少攻擊面。確保操作系統(tǒng)和應(yīng)用程序符合行業(yè)標(biāo)準(zhǔn)（即：PCI、NIST、CIS），從而遵守審查框架或基準(zhǔn)配置。

步驟：

目標(biāo)：

輸出所有適用的操作系統(tǒng)/應(yīng)用程序的審查配置結(jié)果。

Tenable.sc 能夠?qū)彶楣P記本電腦/臺(tái)式電腦、服務(wù)器、網(wǎng)絡(luò)設(shè)備、虛擬化和云基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)等的配置。

根據(jù)對(duì)特定企業(yè)的預(yù)測(cè)風(fēng)險(xiǎn)進(jìn)行漏洞的優(yōu)先級(jí)分析。缺乏優(yōu)先級(jí)分析可能會(huì)導(dǎo)致漏洞超負(fù)荷，而這往往會(huì)導(dǎo)致未解決的風(fēng)險(xiǎn)積壓（由于不作為）、責(zé)任感缺失，以及無(wú)法有效度量進(jìn)展。 

步驟：

目標(biāo)：

根據(jù)完整的業(yè)務(wù)環(huán)境確定漏洞清單中的優(yōu)先修復(fù)順序。這要求對(duì) 100% 的漏洞分配風(fēng)險(xiǎn)評(píng)分，并對(duì) 100% 的資產(chǎn)分配重要性評(píng)級(jí)。

Tenable 利用機(jī)器學(xué)習(xí)分析，在漏洞嚴(yán)重程度、威脅制造分子活動(dòng)和資產(chǎn)重要性之間建立起關(guān)聯(lián)，識(shí)別并管理造成最大風(fēng)險(xiǎn)的問(wèn)題。 

確定并記錄每個(gè)優(yōu)先漏洞的響應(yīng)方式。 

步驟：

目標(biāo)：

為每個(gè)優(yōu)先漏洞和配置結(jié)果記錄下的響應(yīng)措施計(jì)劃。

Tenable 與業(yè)內(nèi)領(lǐng)先的 SOAR 和工作流產(chǎn)品相集成，簡(jiǎn)化響應(yīng)計(jì)劃。

通過(guò)上一階段制定的措施管理風(fēng)險(xiǎn)。若沒(méi)有采取措施，則承擔(dān)風(fēng)險(xiǎn)。 

步驟：

目標(biāo)：

確認(rèn)已執(zhí)行了規(guī)定的措施；不再發(fā)現(xiàn)相關(guān)結(jié)果、確認(rèn)結(jié)果可承擔(dān)或結(jié)果的嚴(yán)重程度下降。

Tenable.io 和 Tenable.sc 能夠改變和/或承擔(dān)漏洞的風(fēng)險(xiǎn)。Tenable 與業(yè)內(nèi)領(lǐng)先的 SOAR 和工作流產(chǎn)品相集成，簡(jiǎn)化響應(yīng)執(zhí)行。 

度量基于風(fēng)險(xiǎn)的漏洞管理流程完整性，以評(píng)估并確保業(yè)務(wù)服務(wù)風(fēng)險(xiǎn)指標(biāo)的完整性。度量業(yè)務(wù)服務(wù)風(fēng)險(xiǎn)，從而為技術(shù)和業(yè)務(wù)決策提供信息，為降低風(fēng)險(xiǎn)提供動(dòng)力。

步驟:

目標(biāo)：

安全主管和業(yè)務(wù)責(zé)任人可以互相協(xié)作，從而度量并管理每個(gè)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。如果某個(gè)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)無(wú)法承擔(dān)，則檢查潛在的影響因素。

評(píng)估成熟度指標(biāo)有助于確保風(fēng)險(xiǎn)指標(biāo)建立在高準(zhǔn)確性數(shù)據(jù)的基礎(chǔ)之上。此外，Lumin 還可以按資產(chǎn)和/或業(yè)務(wù)服務(wù)量化風(fēng)險(xiǎn)。

安全主管、IT 運(yùn)營(yíng)人員和業(yè)務(wù)責(zé)任人相互協(xié)作，定期將實(shí)際業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)與可承擔(dān)風(fēng)險(xiǎn)進(jìn)行比較，識(shí)別出需要改進(jìn)并采取糾正措施的領(lǐng)域。

步驟：

將實(shí)際結(jié)果與 SLA 進(jìn)行對(duì)比。

識(shí)別 SLA 成效差距。

記錄 SLA 成果狀態(tài)。

計(jì)劃糾正措施，包括向上/向下修訂 SLA。

將糾正措施分配給責(zé)任方。

實(shí)施糾正措施。

識(shí)別出需要新加入和/或額外加入的業(yè)務(wù)服務(wù)。

目標(biāo)：

對(duì)于每一個(gè)業(yè)務(wù)系統(tǒng)，安全主管、IT 運(yùn)營(yíng)和業(yè)務(wù)所有者都需要 a) 對(duì)安全狀態(tài)有共同的理解 b) 一致同意去糾正措施計(jì)劃。

Lumin Cyber Exposure 評(píng)分可度量業(yè)務(wù)服務(wù)風(fēng)險(xiǎn)并繪制趨勢(shì)圖。