2021年6月23日
- Gartner的客户吗?登录个性化搜索结果。
如何设置补救安全漏洞的实际时间框架
贡献者:苏珊·摩尔
安全和风险领导者应该将漏洞管理实践与他们组织的具体需求联系起来,而不是一个神话般的标准。
一家大型全球性银行可能在三天内给所有Windows系统打补丁,但所需的业务中断可能是不可接受的。
那么是一个合理的固定时间框架安全漏洞?
巴西的一家银行、新加坡的一家零售商和美国的一家政府机构对这个问题都会有不同的答案威胁景观对每个组织来说都是不同的。
感知到的“行业标准”漏洞修复时间框架没有考虑组织特定的约束、技术共存考虑、内部政策或外部遵从性要求。
现实生活中的情况要微妙得多克雷格·劳森高德纳公司副总裁分析师。
了解更多:高德纳安全与风险管理峰会
劳森表示:“重要的是将‘平台是否得到修补’转变为‘平台漏洞的特定风险是否得到充分缓解’。”
这要求组织采取更结构化的风险和基于事实的方法来进行漏洞管理,将其作为整体管理的一部分安全计划.
漏洞管理有多快才算够快?
报告的漏洞数量庞大,这意味着组织面临着在适当的时间框架内修复漏洞的挑战。
根据漏洞被利用的速度,组织必须做好准备,在供应商发布补丁以解决漏洞的几个小时内,对关键系统执行紧急补救投资于缓解措施。它们还必须继续完善其补救过程的成熟度,以便在数周(而不是数月或数年)内实现所有系统类型的非紧急补救。
Gartner推荐了四种最佳实践来实施有效的补救时间框架。
1.将脆弱性管理与风险偏好相结合
每个组织在修补或弥补漏洞的速度上都有一个上限。这是由业务对操作风险的偏好、IT操作能力/能力以及在试图修复脆弱的技术平台时吸收中断的能力所驱动的。
安全领导者可以通过评估特定用例、评估特定风险的操作风险偏好或逐个风险的基础,并确定补救能力和限制,使漏洞管理实践与组织的需求和要求保持一致。
2.根据风险优先考虑漏洞
组织需要实施多方面的,基于风险的漏洞优先级,根据漏洞的严重程度、当前的利用活动、业务关键性和受影响系统的暴露情况等因素进行。
“你能做的最大的改变之一就是关注那些正在被利用的漏洞。这应该是首要目标,将以最快的速度降低最大的风险,”劳森说。
3.结合补偿控制和补救解决方案
通过将补偿控件(可以进行虚拟补丁,如入侵检测和防御系统以及web应用防火墙)与补丁管理工具等补救解决方案相结合,您可以更有效地减少攻击面,同时对组织的操作影响更小。像入侵和攻击模拟(BAS)工具这样的新技术还可以深入了解您现有的安全技术是如何配置的,以及它们是否能够防御勒索软件等一系列威胁。
通常,如果供应商还没有提供补丁,系统不再受支持或由于其他原因(如软件兼容性),那么就不可能给系统打补丁。高度监管的行业也有一些规定,可能会限制你执行补丁等功能的能力。
劳森表示:“补丁并不是一切。“这很难,会破坏东西,需要时间。有一个B计划——你需要更多的箭,而不仅仅是修补。”
“如果你的漏洞管理程序做得更好,你就可以大幅减少攻击面。这使您成为一个更困难的目标,威胁行为者试图在您的环境中获得一些影响力。这就是为什么这是一件大事。”
4.使用技术自动化漏洞分析
通过使用能够自动化漏洞分析的技术来改进补救窗口和效率。
检查现有的漏洞评估解决方案,确保它们支持较新的资产类型,例如云,容器而且cyber-physical系统在你的环境中。如果不是,增加或替换解决方案。
体验IT安全与风险管理会议
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
*请注意,有些文档可能不是所有Gartner客户都能获得。
获取独家内容
Gartner使用条款和隐私政策。< / > ">
登录您的帐户 访问您的研究和工具" class="eloqua-text">
登录您的帐户 以访问您的研究和工具" class="optin-text">