幾乎可以說，網絡安全的世界，沒有漏洞就沒有威脅。

漏洞管理是企業網絡安全管理中最基礎的工作，但說起漏洞管理，卻幾乎是每個CISO的心頭之痛。

一、漏洞管理痛點

1、更新慢

目前主流的漏洞掃描產品廠商，一般每 1~2 周更新一次漏洞掃描特征庫，管理到位的企業能夠及時連接漏洞庫對產品升級，更多的企業可能在廠商漏洞庫更新后很久都不能做到及時升級，所以漏洞掃描產品往往更新滯后。

2、檢測慢

在安全公司Tripwire最近的一份網絡健康狀態調查中，80%的受訪者稱自家企業有漏洞掃描計劃。約60%的受訪者每天或每周進行一次掃描，40%的受訪者表示每月、每季度或更長時間才掃描一次。有趣的是，僅一半的受訪者稱自家公司會進行經驗證的掃描。另外，很多企業的漏洞掃描計劃從提出到層層審批，再到實施也需要經歷較長的審批流程。

3、處理慢

漏洞處置與漏洞檢測一樣，需要耗費較長時間。SolarWinds MSP曾經做過一次調研，結論是“修補一個嚴重的Web應用程序漏洞平均需要多達69天的時間，而針對內部網絡的類似漏洞則平均需要 65 天的時間。”

漏洞能夠管理項目如何晉級？什么樣的漏洞管理模式才算成熟？

二、漏洞管理的五個階段

著名Tripwire給出了答案，Tripwire基于CMM將漏洞管理分為五個成熟度階段，這五個成熟度階段為企業漏洞管理提供了晉級路線圖，可以幫助公司企業更好地了解自身漏洞管理項目與既定目標之間的差距，方便找出實現安全項目目標的辦法。

1、初始階段

處在這一階段的公司企業要么沒有任何漏洞管理措施，要么只做臨時性的測試。

2、已管理階段

處于這個階段的企業可以自發在內部開展漏洞掃描工作，每周或者每月固定開展，但是往往是為了應對外部監管。

3、已定義階段

該階段的漏洞管理工作為公司所理解，也受到管理層的一定支持，漏洞掃描更為頻繁。

4、量化管理階段

處在這一階段的公司企業有可量化、可度量的指標，定義可接受的風險水平。

5、優化管理階段

在這一階段，使用第四階段定義的度量指標用實現管理提升和優化，所有的優化指標都用于減少組織的受攻擊面。

對照這五個階段可以看出，大多數企業往往處于成熟度的第二個或者第三個階段。

三、漏洞管理的建議

1、贏得高層支持 

高層的態度對于漏洞管理項目來說意義重大，你的項目計劃能贏得領導多大程度 的支持，很大一部分取決于你的表達能力和項目本身效果 的“可視化”程度。如果成敗的價值差異或者嚴重程度不足以打動領導，那么你的預算自然也是可有可無。 

2、高頻掃描

高頻掃描不是連續掃描，它的目的是為了及時發現新的漏洞，要注意和漏洞補救工作相配合。如果修復節奏是每月一次，那么每天掃描也無助于改善結果。理想的狀態是掃描頻率與修復節奏同步，而且在變更時能夠自動執行掃描。

3、指標量化

提出漏洞管理的量化指標，比如掃描頻率、掃描比率、漏洞修復時長、漏洞修復比率。量化的指標要根據企業實際情況制定，給漏洞管理人員指明目標。

4、融合業務

漏洞威脅不是孤立的，網絡安全工作要緊跟業務，緊緊圍繞業務需要，核心業務系統的輕微漏洞一定比一臺置于倉庫的破舊打印機的嚴重漏洞要重要的多。

四、結束語

萬物互聯時代到來，網絡安全漏洞的數量將呈幾何數量級增長，隨著等級保護2.0的推進，2019年國家《網絡安全漏洞管理規定（征求意見稿）》發布，2020年正式稿呼之欲出。漏洞管理作為網絡安全防護中最基礎，最重要的一個環節時刻不能放松。