作為網(wǎng)絡安全的重中之重，漏洞管理也面臨著效率和成熟度的一次變革， 而工具選型、成熟度模型、落地措施則是實現(xiàn)高校漏洞管理的重要議題。面對企業(yè)信息化建設和安全管理中上述常見的漏洞管理相關問題和需求，安全牛輕報告系列推出了《2020年高效漏洞管理現(xiàn)狀與趨勢報告》，內容亮點如下：

一、疫情下的網(wǎng)絡安全

2020年注定是不平凡的一年，隨著新冠疫情的爆發(fā)，各大遠程辦公業(yè)務出現(xiàn)了爆炸式增長，蓄積已久的遠程辦公時代提前到來。然而，伴隨而來的是網(wǎng)絡漏洞數(shù)量激增，網(wǎng)絡病毒、黑客攻擊迅速升級。可以說，沒有網(wǎng)絡安全漏洞，就沒有網(wǎng)絡攻擊與網(wǎng)絡威脅。

二、2019年重大漏洞盤點

根據(jù)《瑞星2019年中國網(wǎng)絡安全報告》，2019年被黑客利用的十大漏洞中，90%的攻擊來自如下四個漏洞：

l CVE-2014-6332 IE遠程代碼執(zhí)行漏洞

l CVE-2016-7255 Win32k特權提升漏洞

l CVE-2017-11882 Office遠程代碼執(zhí)行漏洞

l CVE-2010-2568漏洞

圖 1 2019年被黑客利用的十大漏洞

圖 2 瑞星公司評選出的2019年CVE漏洞利用Top10

三、2019年全球受網(wǎng)絡攻擊行業(yè)排名

根據(jù)《X-Force威脅情報指數(shù)2020》報告的描述：2019年零售業(yè)躍居第二大受攻擊行業(yè)，與金融服務業(yè)的競爭非常激烈，金融服務業(yè)已連續(xù)第四年保持高位。

圖 3 遭受網(wǎng)絡攻擊最嚴重的的10大行業(yè)排名

四、2020年漏洞管理新趨勢

01、威脅情報與漏洞管理

《威脅情報手冊》（第二版）告訴我們：“過去的十年中，盡管每年出現(xiàn)大量的攻擊和威脅，但是它們中只有很小的比例是源于安全漏洞”。

圖 4需要引起注意的關鍵漏洞

《威脅情報手冊》給我們的建議：

l 0-Day不代表最高的優(yōu)先級；

l 爭取時間是關鍵；

l 嚴重程度評級可能會產(chǎn)生誤導；

l 評估風險的最有效方法是綜合分析。

02、SOAR與漏洞管理

SOAR的概念來自于Gartener，它是指安全編排、自動化及響應，是安全協(xié)調和自動化，安全事件響應和威脅情報的結合體。SOAR能給我們帶來的：

l 更快速的威脅檢測

l 優(yōu)化稀缺資源

l 實現(xiàn)不可能

五、全球（僅海外部分）漏管工具全景矩陣

我們對Cappterra網(wǎng)站中搜索熱度排名Top30的漏洞管理產(chǎn)品進行了分析，將用戶感受和產(chǎn)品功能的多項指標歸類綜合，提取了用戶評價總分、產(chǎn)品豐富度兩個指標，形成了《2020年漏洞管理工具綜合評分表》和《2020年漏洞管理工具導航地圖》。

表 1 2020年漏洞管理工具綜合評分表（TOP30完整統(tǒng)計表格請參考報告原文）

（注：紅色區(qū)域代表綜合評價指標，綠色區(qū)域代表未獲得相關數(shù)據(jù)，灰色區(qū)域代表漏掃工具三大重點指標全部得分的產(chǎn)品。）

圖 5 2020年漏洞管理工具選購導航地圖

（注：橫軸表示用戶評分，縱軸表示功能豐富度，紅色文字為漏洞管理工具三大主要功能滿分）

六、漏洞管理成熟度模型

漏洞管理成熟度模型是為了幫助企業(yè)衡量其漏洞管理水平的成熟度，漏洞管理成熟度模型主要包括如下5個階段：

1、“初始階段”。處在這一階段的公司企業(yè)要么沒有任何漏洞管理措施，要么只做臨時性的測試。
2、“已管理階段”。處于這個階段的企業(yè)可以自發(fā)在內部開展漏洞掃描工作，每周或者每月固定開展，但是往往是為了應對外部監(jiān)管。
3、“已定義階段”。該階段的漏洞管理工作為公司所理解，也受到管理層的一定支持，漏洞掃描更為頻繁。
4、“量化管理階段”。處在這一階段的公司企業(yè)有可量化、可度量的指標，定義可接受的風險水平。
5、“優(yōu)化管理階段”。在這一階段，使用第四階段定義的度量指標用實現(xiàn)管理提升和優(yōu)化，所有的優(yōu)化指標都用于減少組織的受攻擊面。

圖 6 漏洞管理成熟度模型示意圖

關于漏洞管理，安全牛為您提供了7個原則和6個錦囊，給企業(yè)安全漏洞管理提供一些借鑒的經(jīng)驗。

7個原則是：

贏得高層支持

以資產(chǎn)發(fā)現(xiàn)為基本點

高頻掃描

融入業(yè)務環(huán)境

例外不是借口

指標化管理

漏洞修復重在流程整合

6個錦囊是：

對關鍵資產(chǎn)清單進行及時更新

引入威脅情報，為漏洞修復提供支持

建立相關的安全合規(guī)基線

使用持續(xù)的安全評估

建立漏洞修復優(yōu)先級排序

建立自動化漏洞修復方案

七、結語

正如2020年人類世界的這場病毒一樣，病毒無法被消滅，只有人類學會免疫，才能更加健康，網(wǎng)絡世界中，安全漏洞此消彼長，不能一勞永逸，只有在科學的指引下實現(xiàn)高效管理，網(wǎng)絡才會變得更加安全與健壯。正如卡耐基梅隆大學教授Brumley所言：所謂的安全性不是指“安全”或“不安全”，而是取決于你行動的速度。只有高效漏洞管理，才是最有效的漏洞管理。

來源︱安全牛https://www.aqniu.com/industry/67910.html

作者︱aqniu