想要在组织内部建立良好的信息安全程序，关键是要拥有一个良好的漏洞管理计划。组织在构建其信息安全计划时，大多数监管政策和信息安全框架都将漏洞管理计划作为其应该做的第一件事。互联网安全中心也特别将其列为排名前20位CIS控制中的第三名。

多年来，我看到过各种不同的漏洞管理程序，并与许多公司在VM程序中具有不同成熟度的公司合作。本文将概述基于能力成熟度模型（CMM）的五个成熟阶段，来让您了解如何使您的组织达到更好的阶段。要阅读完整的白皮书，请查看此链接。

什么是能力成熟度模型？

CMM是一种模型，可帮助开发和改进过程中的增量和可定义的方法。有关该模型的更多详细信息，请点击此处。以下为CMM的五个阶段：

第1阶段：初始

在漏洞管理计划的初始阶段，通常没有或只有很少的流程和程序。漏洞扫描由第三方供应商完成，作为渗透测试或外部扫描的一部分。根据审核员或相关监管要求，这些扫描通常每年进行一到四次。

执行审计的供应商将提供组织内漏洞的报告。然后，组织通常会修复所有严重或高风险的漏洞，以确保网络的安全性。

正如我们在过去几年中所看到的那样，安全性不能仅仅被视为合规性复选框。如果您仍处于这个阶段，则您便成为了攻击者的主要目标，所以将漏洞管理程序成熟化是一个明智之举。

第2阶段：管理

在漏洞管理程序的管理阶段，漏洞扫描是在内部进行的。组织内部定义了一组漏洞扫描程序。他们会购买一个漏洞管理解决方案，并开始每周或每月扫描一次。运行未经身份验证的漏洞扫描，安全管理员开始从外部角度查看漏洞。

在这个阶段，我看到的大多数组织都没有得到高层管理人员的支持，因此预算是很有限的。这导致只能购买相对便宜的解决方案或使用免费的开源漏洞扫描程序。虽然低端解决方案确实提供了基本扫描，但它们的数据收集、业务环境和自动化的可靠性受到限制。

使用低端解决方案可能会出现不同的问题。首先是漏洞报告的准确性和优先级。如果您向系统管理员发送包含大量误报的报告，您将立即失去他们的信任。因为他们的工作都非常忙碌，所以他们希望确保自己能够有效的最大限度的利用时间。因此，可靠准确的报告对于确保及时进行补救至关重要。

第二个问题是，即使您验证了漏洞是易受攻击的，您如何优先考虑哪些漏洞应该首先被修复？大多数解决方案会按高，中，低或1-10分来分类。由于管理员系统资源有限，他们一次只能修复几个漏洞。而他们并不知道哪些级别高哪些级别低，如果没有适当的优先级，这可能是一项艰巨的任务。当然，诸如CVSS之类的行业标准对于共同的通信机制是有必要的。除此之外，能够优先排序则提供了巨大的价值。

第3阶段：定义

在漏洞管理计划的定义阶段，整个组织的过程和程序都得到了很好的理解。信息安全团队得到了执行管理层的支持以及系统管理员的信任。

对此，信息安全团队已经证明，他们选择的漏洞管理解决方案对于在组织的网络上进行扫描是可靠且安全的。根据互联网安全中心的建议，经过身份验证的漏洞扫描至少每周运行一次，并将特定于受众的报告传递到组织中的各个级别。系统管理员会收到特定的漏洞报告，而管理层则会收到漏洞风险趋势报告。

共享漏洞管理状态数据与信息安全生态系统的其余部分，为信息安全团队提供可操作的情报。例如，如果在外部防火墙上检测到漏洞，则可以在安全事件和事件管理（SIEM）工具中运行快速关联，以确定哪些系统易受该漏洞攻击。

我见过的大多数组织都介于Managed和Defined阶段之间。如上所述，一个非常常见的问题是获得系统管理员的信任。如果最初选择的解决方案不符合组织的要求，则很难重新获得信任。

第四阶段：量化管理

在漏洞管理程序的定量管理阶段，程序的特定属性是可量化的，并且向管理团队提供度量标准。以下是每个组织应跟踪的一些漏洞度量标准：

· 近期组织的漏洞管理系统未扫描的组织业务系统的百分比是多少？

· 每个组织的业务系统的平均漏洞分数是多少？

· 每个组织的业务系统的漏洞总分是多少？

· 平均需要多长时间才能将操作系统软件更新完全部署到业务系统？

· 平均需要多长时间才能将应用程序软件更新完全部署到业务系统？

这些指标可以进行整体查看，也可以按各个业务部门进行细分，以查看哪些业务部门正在降低风险，哪些业务部门比较落后。

第五阶段：优化

在漏洞管理程序的优化阶段，前一阶段定义的度量是有针对性的改进。优化每个指标将确保漏洞管理程序不断减少组织的攻击面。信息安全团队应与管理团队合作，为漏洞管理计划设定可实现的目标。一旦达到这些目标，就可以设定新的和更积极的目标，以实现持续的流程改进。

漏洞管理与资产发现相结合，占据了CIS控制前20强中的前三名。因此，确保漏洞管理计划的持续成熟是减少组织攻击面的关键。如果我们每个人都可以减少攻击面，我们可以让这个网络世界更安全！

点击此处了解有关Tripwire漏洞和风险管理解决方案的更多信息。