组织在管理漏洞时面临的三个重要问题

不能有效管理网络漏洞的后果是十分严重的，数据泄露会导致严重的声誉和经济损失，而且泄露的数量每年都在增加。那么组织的漏洞管理有什么问题？

其实从一开始，太多组织对漏洞管理的含义已经过时。不仅仅是扫描您的网络以查找威胁。漏洞管理的总体方法包括识别、报告、评估和确定暴露的优先级。至关重要的是，它还涉及风险背景。漏洞管理的综合方法不仅仅是扫描安全漏洞，而是向您展示如何利用这些漏洞以及可能的后果。准确地说，漏洞管理在正确执行时采用整体方法，在该方法中所有各方协调工作以降低关键业务资产的风险。

组织在管理漏洞时面临的三个重要问题

1、未能正确确定威胁的优先级

无法正确排列暴露是组织目前在漏洞管理环境中面临的最具破坏性的问题之一。太多组织通过扫描识别安全漏洞，然后直接进入修复阶段。在某种程度上，这种紧迫性是可以理解的。然而，归根结底，它是短视的，会带来更大的风险。

聪明的组织将大量注意力集中在漏洞管理的优先级和报告阶段。未能有效地确定优先级可能会导致时间和资源的浪费，因为团队竞相解决对业务关键资产没有真正风险。更糟糕的是，它使组织以最糟糕的方式变得脆弱。一个更好的方法是专注于可以利用的风险敞口的百分之一。如果操作正确，这种优先级排序可以消除对业务敏感的系统99%的风险。

2、不使用连续方法

有效的漏洞管理计划是持续的，而不是偶发的。如果企业不采取持续的方法，他们将难以控制漏洞的流动并积累“漏洞债务”。这是一个严重的问题。

鉴于掌握新出现的漏洞已经很困难，处理不断积压的安全问题可能会使整个情况站不住脚。使用以连续和自动化漏洞识别为中心的持续方法，而不是不定期的扫描和修复。这是开发由持续改进定义的安全态势的关键之一。

3、沟通不畅，组织架构不清晰

当安全团队没有明确的沟通渠道和正确的组织结构时，几乎肯定会出现问题。团队成员经常没有明确的角色，他们不了解自己在整体漏洞管理框架中的位置，尤其是在职责方面。

当团队成员有明确的角色定义和明确的职责时，他们可以有效地工作和协作。每个人都可以努力履行自己的职责并实现他们的特定目标，而不是孤立地工作和错过更大的图景——同时了解他们的工作如何与他人的角色和责任相关联。这种沟通需求也延伸到了最高管理层。鉴于强大的网络安全已成为一项重要的战略目标，公司领导层了解该计划并对其进行投资非常重要。

漏洞主要管理问题

未能有效管理网络漏洞的后果从未如此严重。一次数据泄露可能导致严重的声誉和财务损失，而且泄露的数量每年都在不断增加，而且没有失败。确实，漏洞管理已经不再只是另一种IT支出——它应该是一个关键的业务目标。

为了实现这一点，必须了解漏洞管理应该是一个持续的、多阶段的过程。解决困扰如此多原本聪明的IT部门的问题也很重要：优先级不高、管理漏洞的方法不定期以及团队和领导者之间缺乏组织和沟通。就避免这些陷阱而言，正确的方法可以带来巨大的收益。如上所述，您能做的最好的事情是结合强大的漏洞管理工具，提供适当的优先级指导和关键风险上下文。一旦您的基本战略是合理的并且您配备了正确的工具，您的企业在保护您最宝贵的资产方面将远远领先于大多数竞争对手。