最近发布的 Security Navigator 报告数据显示，企业仍需要大约215天来修复一个报告的漏洞。即便是关键漏洞，通常也需要6个月以上的时间来修复。

良好的漏洞管理，并不在于修复漏洞方面的速度。它更在于通过漏洞优先级来将重心放在真正要紧的漏洞上，从而减少公司的攻击面。公司的数据和威胁情报之间需要具有相关性以及自动化能力。这有助于内部团队能够集中精力进行补救工作。合适的技术可以形成一个全球漏洞智能平台。该类平台可以使用风险评分来帮助对漏洞进行优先级排序，从而使企业专注于其真正关键的组织风险。

引言

在建立一个有效的漏洞管理程序之前，要牢记一些事实：

1、每年新检测出的漏洞数量正不断增加。如今平均每天都能发现50个新漏洞。可想而知，要全部的漏洞是几乎不现实的。

2、在所发现的全部漏洞中，仅有一部分能够对所有组织产生大范围的影响，而这些漏洞才算是能够被有效利用。数据显示，仅有大约6%的漏洞曾在野外被利用。所以，我们所需要的是减轻漏洞管理的负担，专注于真正的威胁。

3、即使是同一个漏洞，对于不同公司的业务和基础设施也会产生完全不同的影响。因此，组织需要同时考虑业务的暴露程度和漏洞的严重性。基于这些事实，我们就可以明白，没有必要修复所有的漏洞。相反，我们更应该关注那些对威胁环境以及组织内部情况具有针对性的真正威胁。

基于风险的漏洞管理概念

此概念指的是重点关注最关键的资产以及攻击者所针对的高风险资产。为了处理基于风险的漏洞管理程序，我们需要考虑两个环境。

内部环境

客户的环境代表内部环境。随着公司网络的持续增长和多样化发展，其攻击面也不断扩张。攻击面代表着黑客所能接触到信息系统的所有组件。了解自己信息系统和攻击面的情况是保护公司安全的第一步，这需要清晰并及时地掌握相关信息。同时，考虑业务环境也很重要。公司可以因其业务领域中所拥有的特定数据和文档（知识产权、机密国防等）而成为更大的目标。最后一个需要考虑的关键因素是公司的独特背景。目的是根据其关键性来对资产进行分类，并突出最重要的资产。例如，资产的可用性若遭到破坏，业务的持续性将面临严重的中断；或者说如果高度机密的资产被非法访问，那么公司将会面临相应的法律诉讼。

外部环境

威胁环境代表外部环境。此数据无法通过内部网络访问。组织需要花费人力和财力来查找并管理这些信息。另外，这项工作也可以外包给专业人员，由他们来监控威胁环境，从而维护组织的利益 。

同时，了解那些被实际利用的漏洞也是十分必要的，因为它们会对公司构成更高的风险。这些被实际利用的漏洞可以通过威胁情报能力，结合漏洞数据来进行跟踪。为了取得最有效的成果，要尽量增加威胁情报来源的数量并将它们关联起来。此外，理解攻击者的活动有助于预测潜在的威胁。例如：关于新的零日漏洞或新勒索软件攻击的情报可以帮助内部团队及时地采取行动，以防止安全事件的发生。

将两个环境结合起来理解有助于组织更好地定义其真实风险，同时也可以更有效地确定应该在哪里部署预防和修复措施。组织不需要盲目地对大量漏洞都打上补丁，而是要有针对性地选择关键的漏洞进行修复，这样才能更有效地降低组织遭到攻击的风险。

实施基于风险的漏洞管理计划的五个关键步骤

资产识别：识别所有的资产以发现攻击面。进行一次资产清点扫描可以帮助组织获得初步的资产信息。然后在内部环境及外部环境上定期进行扫描，并将结果共享到漏洞情报平台。

上下文化：在漏洞情报平台中配置组织中的业务背景以及资产的重要程度。随后，扫描结果将会根据每个资产的特定风险评分进行上下文化处理。

丰富扫描结果：使用漏洞情报平台提供的附加来源（例如威胁情报和攻击者活动）来丰富扫描结果，这有助于组织对威胁情况进行优先级排序。

修复：由于每个漏洞都会给出一个相应的风险评分，所以可以将其与威胁情报标准（如“易于利用”、“在野外利用”或“广泛利用”）相对应起来。这样可以更轻松有效地确定修复的优先顺序。

评估：使用关键绩效指标（KPI）以及定制的仪表板和报告来监测和衡量漏洞管理程序的进展情况。这是一个持续改进的过程。

基于风险的漏洞管理是一种相对于传统漏洞管理更加有效的方法，它能够帮助企业更好地把握自身系统的安全状况，更好地分配安全资源和优先处理漏洞。然而，它只是一个更广泛的安全管理框架中的一个环节，仅仅依靠它不够的。企业还需要在此基础上建立一个完整的安全生命周期管理框架，将其融入到更为全面的安全管理体系中，以确保组织系统的全面安全。

来源：数世咨询