叁师定非认为在漏洞修复工作中引入漏洞修复优先级的概念,而漏洞修复优先级的参考因子可以有资产重要性、漏洞POC、资产防御情况、漏洞热度等,同时利用绝对条件的因数对漏洞进行过滤,绝对条件即为符合这类条件的漏洞如果按优先级评分来说只会有0或者100的两个极端分值,对于运维人员来说可以根据分值很好的去判断是否修复此类漏洞,一类是必须修复的情况:如面向互联网的重要资产发现可利用高危漏洞;一类是无法修复的情况:如内部进行物理隔离的核心业务系统。
依据漏洞优先级评分来进行漏洞优先修复工作时,还需要对最终的优先级评分进行人工的修正,保证得出的优先级是具有参考价值的。漏洞修复优先级的概念是为了解决企业在面对大量漏洞的情况下,如何做到更好的利用企业资源优先处理紧急程度更高的漏洞。
2. 漏洞修复流程优化
把漏洞修复流程的每个环节与响应人员进行绑定,不仅仅只限于不同运维人员或安全人员,同时还要要求相应的领导决策人员加入,提高漏洞修复响应的效率,同时监督漏洞修复流程的进行。
漏洞修复流程必须严格明确:
(1) 漏洞发现阶段由企业安全人员进行,然后把发现的漏洞转送至相应资产运维人员;
(2) 漏洞处理阶段由运维人员进行,针对漏洞做出相应操作;
接受风险是运维人员根据实际情况进行判断,如业务影响情况、资产重要性等,运维人员可以手工把漏洞状态在待修复和接受风险之间进行转换。
单次忽略即为本次扫描忽略这个漏洞,但下次扫描还会扫出此漏洞,永久忽略即为以后永远忽略这个漏洞,除非人工进行漏洞转态转移到发现里面。
(3) 漏洞验证阶段为安全人员和运维人员相互配合;
当运维人员把待修复漏洞转换到已修复转态,安全人员必须要对漏洞修复情况进行复查,如果再次扫描发现漏洞依然存在,则归为修复失败,对于修复失败的漏洞要重新转换到漏洞发现状态。
如果再次扫描漏洞不存在,则归为已验证状态,同时如果后期多次扫描过程中因为资产本身变化导致漏洞复现,漏洞状态转换为再次发现,对于再次发现的漏洞要及时转至待修复状态。
(4) 在漏洞发现到漏洞修复的流程转换过程中,必须有领导决策人员知晓,以达到监督漏洞管理流程正常有效运转的目的;
(5) 同时定期输出漏洞修复情况报告给到领导决策人员,使其了解企业漏洞管理现状。
(6) 针对漏洞修复的各个转态转换进行追踪审计,记录修复时间、处理人员和处理反馈等。