如何设置补救安全漏洞的实际时间框架

在3天内给一家大型全球银行的所有Windows系统打补丁或许是可能的，但所需的业务中断可能是不可接受的。

那么是一个合理的固定时间框架安全漏洞?

巴西的银行、新加坡的零售商和美国的政府机构对这个问题的回答各不相同威胁景观对于每个组织都是不同的。

感知到的“行业标准”漏洞补救时间框架没有考虑到组织特定的约束、技术共存考虑、内部政策或外部遵从性需求。

现实情况要微妙得多，他说克雷格·劳森， Gartner的副分析师。

了解更多:高德纳安全与风险管理峰会

劳森表示:“重要的是将‘平台是否打了补丁’转变为‘平台漏洞的具体风险是否得到了充分缓解’。”

这就要求组织采取一种更加结构化的基于风险和事实的方法来进行漏洞管理，作为整体管理的一部分安全计划．

漏洞管理的速度有多快才算够快?

报告的漏洞数量之多意味着组织面临着在适当的时间框架内纠正漏洞的挑战。

基于漏洞被利用的速度，组织必须准备好在供应商发布补丁以解决漏洞的数小时内对关键系统执行紧急补救，而且必须做好大量准备投资于缓解措施。他们还必须继续改进他们的补救过程成熟度，以便在几周内，而不是几个月或几年内，在所有系统类型中实现非紧急补救。

Gartner推荐了四种最佳实践来实施有效的补救时间框架。

1.将脆弱性管理与风险偏好结合起来

每个组织对修补漏洞或补偿漏洞的速度都有一个上限。这是由业务对操作风险的偏好、IT操作能力/能力以及在试图修复脆弱的技术平台时吸收中断的能力所驱动的。

安全领导者可以通过评估特定的用例，评估其对特定风险的操作风险偏好，或基于逐个风险的基础，并确定补救能力和限制，使漏洞管理实践与组织的需求和要求相一致。

2.根据风险对漏洞进行优先级排序

组织需要实施多方面的，基于风险的脆弱性优先排序，根据漏洞的严重程度、当前的利用活动、业务的关键程度和受影响系统的暴露程度等因素。

“你能做的最大改变之一就是关注那些在野外被利用的漏洞。这应该是首要目标，并能最快降低风险。”劳森说。

3.将补偿控制和补救解决方案结合起来

通过将可以进行虚拟补丁的补偿控制(如入侵检测和防御系统和web应用程序防火墙)与补丁管理工具等补救解决方案相结合，可以更有效地减少攻击面，同时对组织的操作影响更小。像入侵和攻击模拟(BAS)工具这样的新技术还可以深入了解现有的安全技术是如何配置的，以及它们是否能够抵御勒索软件等一系列威胁。

通常情况下，如果供应商还没有提供补丁、系统不再受支持或由于其他原因(如软件兼容性)，则根本不可能给系统打补丁。高度监管的行业也有可能限制您执行补丁等功能的能力。

劳森说:“补丁并不是一切。“这很难，会破坏东西，需要时间。要有备用计划——你的箭袋里需要更多的箭，而不仅仅是修补。”

“如果你的漏洞管理程序做得更好，你可以大幅减少攻击面。这允许您成为威胁行为者的一个更难对付的目标，以便在您的环境中获得一些影响力。这就是为什么这是一件大事。”