在组织内部建立良好的信息安全计划的关键，是要拥有一个良好的漏洞管理计划。大多数(如果不是全部的话)监管政策和信息安全框架都建议，将强大的漏洞管理计划作为组织在构建其信息安全计划时应该做的第一件事。互联网安全中心也特别将其列为“Top 20 CIS控制”中的第三名。

多年来，我看到过各种不同的漏洞管理计划，并与许多在VM程序中具有不同成熟度的公司合作。本文将概述基于能力成熟度模型(CMM)的五个成熟阶段，来让您了解如何使您的组织更上一层楼，达到下一个成熟度阶段。

什么是能力成熟度模型(CMM)?

CMM是一种模型，可帮助以渐进和可定义的方法来开发和优化流程。有关该模型的更多详细信息，请点此链接查询。以下为CMM的五个阶段：

第1阶段：初始

在漏洞管理计划的初始阶段，通常没有或只有很少的流程和程序。漏洞扫描由第三方供应商完成，作为渗透测试或外部扫描的一部分。根据审核员或相关监管要求，这些扫描通常每年进行一到四次。

执行漏洞扫描的供应商将提供组织内漏洞的报告。然后，组织通常会修复所有严重或高危级别的漏洞，以确保自身保持合规性。一旦取得及格分数，剩下的信息就会被归档处理。

正如我们在过去几年中所看到的那样，安全性不能仅仅被视为合规性的复选框(checkbox)。如果您仍处于这一阶段，那么您可能会成为攻击者的主要目标。如果您尚未开始能力成熟度模型，那么建议您尽快完全这第一阶段。

第2阶段：管理

在漏洞管理程序的管理阶段，漏洞扫描是在内部进行的。组织内部定义了一组漏洞扫描程序。他们会购买一个漏洞管理解决方案，并开始每周或每月扫描一次。在运行未经身份验证的漏洞扫描时，安全管理员会从外部角度查看漏洞。

在这个阶段，我看到的大多数组织都没有得到高层管理人员的支持，因此掌握的预算也就十分有限。这导致组织只能去购买相对便宜的解决方案，或使用免费的开源漏洞扫描程序。虽然低端解决方案确实提供了基本的扫描功能，但它们的数据收集、业务环境和自动化的可靠性也会受到限制。

使用低端解决方案可能会出现不同的问题。首先是漏洞报告的准确性和优先级。如果您向系统管理员发送包含大量误报的报告，您将立即失去他们的信任。因为他们和其他所有人一样，工作非常忙碌，所以他们希望能够有效地、最大限度地利用自己的时间。由此，可靠准确的报告对于确保及时进行补救至关重要。

第二个问题是，即便验证了漏洞确实是易受攻击的，又将如何确定哪些漏洞应该优先进行修复呢?大多数解决方案会按高，中，低或1-10分来分类评级。由于系统管理员拥有的资源有限，他们一次只能修复几个漏洞。他们如何确定哪个“高”更高?哪个10分更为紧迫?如果没有适当的优先级，这可能是一项艰巨的任务。当然，诸如CVSS之类的行业标准对于共同的通信机制是有必要的。除此之外，能够优先排序则提供了巨大的价值。

第3阶段：定义

在漏洞管理计划的定义阶段，整个过程和程序都已经具备了良好的特征，且在整个组织中得到了很好的理解。信息安全团队也已经得到了执行管理层的支持以及系统管理员的信任。

在此阶段中，信息安全团队也已经证明，他们选择的漏洞管理解决方案对于在组织的网络上进行扫描是可靠且安全的。根据互联网安全中心的建议，经过身份验证的漏洞扫描至少每周运行一次，并将特定于受众的报告传递到组织中的各个级别。系统管理员会收到特定的漏洞报告，而管理层则会收到漏洞风险趋势报告。

此外，将漏洞管理状态数据与信息安全生态系统的其余部分进行共享，可以为信息安全团队提供可操作的情报。例如，如果在外部防火墙上检测到漏洞，则可以在安全事件和事件管理(SIEM)工具中运行快速关联，以确定哪些系统易受该漏洞攻击。

我发现，目前大多数组织都介于“第二阶段”(管理)和“第三阶段”(定义)之间。如上所述，一个非常常见的问题是如何获得系统管理员的信任。如果最初选择的解决方案不符合组织的要求，则很难重新获得信任。

第4阶段：量化管理

在漏洞管理程序的定量管理阶段，程序的特定属性是可量化的，并且向管理团队提供度量标准。以下是每个组织应跟踪的一些漏洞度量标准：

近期组织的漏洞管理系统未扫描的组织业务系统的百分比是多少?

每个组织的业务系统的平均漏洞分数是多少?

每个组织的业务系统的漏洞总分是多少?

平均而言，将操作系统软件更新完全部署到业务系统中需要多长时间?

平均而言，将应用程序软件更新完全部署到业务系统中需要多长时间?

这些指标可以进行整体查看，也可以按各个业务部门进行细分，以查看哪些业务部门正在降低风险，哪些业务部门处于比较落后的状态。

第5阶段：优化

在漏洞管理程序的优化阶段，前一阶段定义的度量标准旨在进行改进。优化每个指标将确保漏洞管理程序不断减少组织的攻击面。信息安全团队应该与管理团队合作，为漏洞管理计划设定可实现的目标。一旦达到这些目标，就可以设定新的、更积极的目标，以实现持续的流程改进。

漏洞管理与资产发现相结合，占据了“Top 20 CIS控制”的前三名。因此，确保漏洞管理计划的持续成熟是减少组织攻击面的关键。如果我们每个人都可以减少攻击面，我们可以让这个网络世界更安全!

关于“Top 20 CIS控制”

硬件资产的库存和控制;

软件资产的库存和控制;

持续漏洞管理;

管理权限的控制使用;

移动设备、笔记本电脑、工作站和服务器上的硬件和软件的安全配置;

审计日志的维护、监控和分析;

电子邮件和Web浏览器保护;

恶意软件防御;

网络端口、协议和服务的限制和控制;

数据恢复功能;

网络设备(例如防火墙、路由器和交换机)的安全配置;

边界防御;

数据保护;

访问控制(只赋予“需要的”人员访问权限);

无线访问控制;

账户监控;

实施安全意识和培训计划;

应用软件安全;

事件响应和管理;

渗透测试和“红队”练习;

*参考来源：tripwire，米雪儿编译整理，转载来自于 FreeBuf.COM。