甲方企业漏洞管理活动的50个痛点总结 | |||||
活动阶段 | 活动任务 | 序号 | 痛点名称 | 痛点描述 | |
预防 | 1 | 漏洞扫描检测 | 1 | 漏洞扫描影响性能 | 远程扫描可能影响网络和应用性能,本地扫描可能影响主机瞬时性能。 |
2 | 2 | 隔离网络扫描执行难 | 隔离网络网络不可达,需要物理接入,人工操作繁琐,费时费力。 | ||
3 | 3 | 扫描点权限风险 | 远程扫描若全网可达,扫描虽方便但权限过大可能存在安全风险。 | ||
4 | 4 | 扫描检测误报问题 | 远程扫描时通过获取版本匹配判断漏洞存在否,误报较高,屏蔽版本无法识别。 | ||
5 | 5 | 漏洞扫描时间长 | 远程网络扫描不能并行检测,漏洞逐一匹配判断,漏洞越多时间越长。 | ||
6 | 安全测试检测 | 6 | 漏报问题 | 在存在防护设备如WAF时,测试成本增加,可能产生漏报。 | |
7 | 7 | 检测时间受限 | 部分业务受安全测试时间影响,容易漏报。 | ||
8 | 8 | 检测功能受限 | 部分功能不具备安全测试条件,容易漏报,如测试环境。 | ||
9 | 9 | 个人经验覆盖率问题 | 专业服务由小团队完成安全测试,发现漏洞无法保证全面覆盖。 | ||
10 | 10 | 众测不可控问题 | 众测水平参差不齐,更可能存在恶意行为。 | ||
11 | 11 | 漏洞触发影响业务 | 测试中为探测漏洞,可能导致业务瘫痪,如危险命令。 | ||
12 | 12 | 脏数据问题 | 测试中可能导致后台数据插入脏数据。 | ||
收集 | 13 | 获得安全漏洞通告 | 13 | 漏洞价值低 | 安全漏洞通告的漏洞价值低,企业无法使用,多数得忽略,浪费人力资源。 |
14 | 14 | 漏洞通告不专业 | 缺少CVE、受影响版本、不受影响版本、自查手段等必要信息,使用时增加成本。 | ||
15 | 15 | 漏洞信息混乱 | 短时间内连续相似漏洞的漏洞信息来源多,各信息编号不统一,容易混乱。 | ||
16 | 获得威胁情报 | 16 | 资产不清晰 | 不知道哪些资产受影响,是否有遗漏的资产。 | |
17 | 17 | 多源漏洞情报整合问题 | 多来源漏洞情报格式差异、漏洞信息字段错误,增加使用成本。 | ||
18 | 获得SRC漏洞信息 | 18 | 运营难问题 | 白帽子水平参差不齐,漏洞质量难保证,白帽子资源维护难。 | |
19 | 19 | 漏洞审核难/效率低 | 审核靠个人经验,漏洞信息不完整审核效率低。 | ||
20 | 20 | 平台功能复杂成本高 | SRC平台与内部工单、OA、CMDB、邮件、短信等对接,功能复杂,开发成本高 | ||
21 | 获得补丁文件/版本程序 | 21 | 无有效的补丁可用 | 有情报/漏洞信息,但官方无补丁。如0day。 | |
22 | 22 | 补丁获取难 | 部分漏洞的安全通报和补丁号对应不上,官网找补丁很麻烦。 | ||
23 | 23 | 应用补丁开发周期长 | 供应商对部分应用的漏洞开发补丁,时间不可控,开发周期长。 | ||
24 | 24 | 老旧低版本补丁不支持 | 供应商产品架构调整,补丁不支持老旧低版本产品,无法获取或获取需收费。 | ||
消减 | 25 | 漏洞评估 | 25 | 漏洞验证难 | 部分漏洞可能没法验证,危害难直接体现,只能依据官方公告。 |
26 | 26 | 漏洞评定标准问题 | 对发现的漏洞需要综合评定,结合资产、利用难度、影响用户等全靠团队经验。 | ||
27 | 明确修复措施 | 27 | 修复措施评审问题 | 采用临时性缓解措施、补丁修复、版本升级等措施全靠团队经验,还会涉及业务团队。 | |
28 | 28 | 漏洞策略审批难 | 哪些漏洞打,哪些漏洞不打全靠经验,无法自动化评估漏洞、补丁级别、自动审批。 | ||
29 | 测试验证 | 29 | 补丁有效性测试难 | 测试与生产环境差异,导致漏洞在测试环境补丁修复验证成功,但不等于生产环境也成功。 | |
30 | 30 | 补丁安全性问题 | 漏洞修复成功可能引入新的风险,引入二次、多次漏洞的新问题。 | ||
31 | 31 | 补丁兼容性问题 | 对系统的影响测试环境可能无法全面验证。 | ||
32 | 32 | 新/高版本不支持问题 | 采用升级版本修复漏洞时,应用系统可能不支持新/高版本。 | ||
33 | 33 | 虚拟补丁兼容性及性能问题 | 采用虚拟补丁时,可能更加会受到兼容性和性能的影响,不好评估。 | ||
34 | 制定修复方案 | 34 | 补丁修补前备份数据难 | 备份数据往往比漏洞修复过程时间长、执行成本更高。 | |
35 | 35 | 补丁依赖关系难清晰 | 老旧操作系统打补丁,往往需要SP大版本支持和其他补丁依赖关系,不易操作。 | ||
36 | 36 | 补丁回退问题 | 各种意外导致的补丁回退问题,方案可能很难考虑全面。 | ||
37 | 修复实施 | 37 | 版本控制不完善 | 由于版本控制管理不完善,导致修复新漏洞时导致版本回退,旧漏洞重现。 | |
38 | 38 | 变更安全性问题 | 由于修复漏洞变更操作不规范,导致修复后配置参数变化,影响业务。 | ||
39 | 39 | 自动分发/升级补丁风险 | 采用自动化运维系统对补丁自动分发时,可能出现个别分发异常情况。 | ||
40 | 40 | 大规模升级风险 | 大规模升级时,一点补丁产生bug会影响面非常大。 | ||
41 | 41 | 补丁修补成本高问题 | 如CPU漏洞,硬件架构导致的漏洞等解决成本过高。 | ||
42 | 42 | 隔离网修复操作成本高 | 隔离网络中,补丁或程序重新部署由人工逐一操作,成本很高。 | ||
43 | 修复复核 | 43 | 补丁修复复核难问题 | 部分漏洞修补后版本无变化或小版本变化,远程漏洞扫描时无法识别漏洞是否修复成功。 | |
44 | 44 | 复核时间延迟问题 | 受业务影响,可能修补后无法第一时间进行复核,出现问题不能及时发现。 | ||
45 | 45 | 修复后的评估监控难问题 | 漏洞补丁升级后,平稳度、兼容性等量化评估、监控难得问题。如打补丁后一周系统异常。 | ||
其他 | 46 | 效率 | 46 | 跨部门协作效率问题 | 漏洞修复的方案、测试、记录、工单跟踪、执行操作等多部门协作困难及效率不高。 |
47 | 工具 | 47 | 缺少易用的补丁工具 | 微软WSUS/SCCM、Dell KACE、Red Hat、IBM、VMware等平台的补丁系统集成各种问题。 | |
48 | 48 | SRC平台问题 | 商用SRC平台和自研SRC平台的各种困扰。 | ||
49 | 49 | 漏洞管理可视化的问题 | 漏洞的发现、测试、修复等过程可视化呈现难,不容易体现各团队工作量及工作效率。 | ||
50 | 责任 | 50 | 定责难问题 | 由漏洞修复引发的安全事故,涉及多角色各环节。如检测人、审核人、测试人、升级操作人等。 |