Help net security發佈了一篇如何從收集風險數據到實際降低風險?
在數位安全至關重要的時代,組織需要從以發現風險為主的方式轉變為以修復風險為主的方式。這需要改變安全團隊的激勵機制,並專注於風險修復。為了在規模上實現這一目標,組織必須擺脫對風險降低的“消防”模式,並變得更加主動。本報告介紹了七個步驟,可以幫助組織將現有的漏洞和風險管理流程和工作流從消防轉變為主動管理風險降低。
第一步:收集 - 建立一個統一的待辦事項清單
以發現風險為主的方式意味著您的典型修復流程是登錄每個測試工具的儀表板。這需要學習每個工具的不同功能,並理解每個工具的發現語言。要轉變為以修復為主的方式,首先要建立一個單一的待辦事項清單。第一步是將所有測試工具的所有發現收集到一個集中的位置,無論是電子表格、數據庫還是其他系統。
第二步:合併 - 歸一化、去重和豐富上下文
有了單一的待辦事項清單後,將其進一步推進,將所有發現歸一化,使它們使用統一的術語,從而可以執行統一的修復流程。畢竟,如果您想衡量結果,您需要在所有發現中執行相同的流程。這個歸一化的發現清單現在是所有後續活動的支柱。您會發現您現在歸一化的列表中有重複的發現。刪除多餘的項目以減少您待辦事項清單的長度。歸一化列表還可以讓您識別影響同一資源的不同發現。在這一點上,您應該用所有權上下文豐富發現,這是您在第二步中收集到的元數據,例如從配置管理數據庫(CMDB)中收集誰擁有某個易受攻擊的機器。
第三步:選擇 - 決定什麼、誰、如何、在哪裡執行修復操作
所有發現都歸一化後,您現在可以通過多維優先級方法選擇如何修復,其中包括:
a. 什麼:選擇是根據外部上下文(例如,野外已知的利用)還是根據內部上下文(例如,它在哪個領域 - 雲、代碼等)來優先考慮發現。
b. 誰:選擇將修復項目發送給誰。要識別正確的團隊,請分析您在第二步中收集到的資源元數據。
第四步:分配 - 將修復項目分配給相關團隊
在決定了什麼、誰、如何、在哪裡執行修復操作後,您需要將修復項目分配給相關團隊。這可以通過集成到現有的工作流管理系統(例如 Jira、ServiceNow 等)來實現,或者通過電子郵件或其他方式通知相關人員。
第五步:跟蹤 - 監測修復項目的狀態和進度
在分配了修復項目後,您需要跟蹤其狀態和進度,以確保及時完成。這可以通過與工作流管理系統的雙向集成來實現,或者通過定期向相關人員發送提醒和報告來實現。
第六步:修復 - 進行實際的修復、緩解或風險接受
這是實際修復、緩解或風險接受的部分,以消除安全問題。這是修復流程中最關鍵的部分,也是最困難的部分,因為它涉及到與開發人員、運維人員和業務所有者等多個利益相關者的協調和協作。
第七步:驗證 - 確認修復項目已成功完成
在完成了修復操作後,您需要驗證修復項目是否已成功完成,並沒有引入新的安全問題。這可以通過重新執行測試工具來實現,並比較新舊發現之間的差異。
通過遵循這七個步驟,組織可以將其安全流程和工作流從以發現風險為主轉變為以修復風險為主。這將有助於提高安全團隊的效率和效果,並降低組織面臨的風險水平。
How to go from collecting risk data to actually reducing risk?