弱點管理基本原則：須知

在有關弱點管理基本原則五部系列中的第一部分，我們探索了 Cyber Exposure Lifecycle 的四個階段。

只有在簡單中才能找到真理，在事物的多重性和混亂中無法找到。

— 艾薩克·牛頓爵士

Tenable 是 Cyber Exposure 專業領域的先鋒，協助網路安全團隊衡量與管理網路風險。Cyber Exposure 是將網路風險傳達給企業利益關係人，以及確保網路安全已經作為關鍵輸入變數納入策略性企業決策的必要條件。 

啟用 Cyber Exposure 的核心是健全的弱點管理方案。事實上，Cyber Exposure 必須建立在弱點管理的穩固基礎上才有效果。在現今充斥安全威脅、全新工具以及法規範圍不斷延伸的世界當中，很容易忽視安全的基本原則：發現最重要資產中的弱點並且加以修復，藉此降低網路風險。弱點管理過程涉及識別與分類攻擊破綻間所有資產、評估這些資產是否有安全弱點、排定優先緩解的安全問題，以及實施適當的修復措施。 

事實上，只要仔細瞭解 Cyber Exposure Lifecycle 便能得知弱點管理對於 Cyber Exposure 的重要性。弱點管理可協助搜尋、評估、分析與修復攻擊破綻間的曝險。在這個五部分的部落格系列中，我們將研究這個生命週期的個別步驟，說明弱點管理基本原則如何協助降低網路風險。讓我們從概述開始。 

1. 搜尋 - 資產搜尋和分類

如同一句古老的安全諺語所說：「您沒有辦法保護自己看不見的東西」。維護全方位並且持續更新的資產庫是弱點管理的基本和關鍵組成。在現今複雜的 IT 環境中，資產可能包括了內部部署以及雲端基礎架構、 行動裝置、暫時性與過渡性資產、web 應用程式、IoT 裝置等，維護全面的資產庫並不簡單。維護工作可從根據業務影響與風險進行全方位的資產搜尋與分類開始。請記得，基礎架構不斷改變。因此資產搜尋以及分類是一項需要持續進行的工作。

深入瞭解：參加我們即將舉辦的網路研討會，「如何精通弱點管理的基本原則第 1 部分：資產搜尋和分類」，2019 年 7 月 31 日下午 2 點 (東部時間)，瞭解有關此主題的實用建議。

2. 評估 - 全方位且持續的弱點評估

一旦擁有全方位的資產庫之後，現在應該評估資產中的弱點，以便對於攻擊破綻和風險景況有清楚的認識。在弱點評估的深度、廣度以及頻率之間務必力求平衡，因為想要在一致的基礎上實現這三個目標將會是一大挑戰。深度評估涉及經認證的掃描與代理程式，將提供豐富的弱點資料，但是可能會花費大量時間並且耗費資產的資源。廣泛而頻繁的評估也可能受到企業營運的限制。如同其他安全活動一樣，必須在安全與業務需要間取得平衡，並且利用流程變動以及工具來達成評估目標。 

3. 分析 - 弱點分析與排定優先順序

在此階段，將會面臨所有弱點管理以及安全方案的傳統挑戰：資料超載。弱點評估所揭示的關鍵與高嚴重性弱點數量，有可能會超出合理時間內能夠解決的範圍。所以應該如何排定修復弱點的優先順序？專注在最有可能遭到利用的弱點和資產。備註：這並非意味著您應該忽略其他的弱點與資產，而是要根據業務影響和風險排定優先順序。

4. 修復 - 弱點修復與驗證

弱點修復以及結果驗證是弱點管理生命週期的最終步驟。許多資料外洩發生的原因是由於眾所周知的弱點長期未經修補所造成。但是正如其他步驟一樣，修補工作也有其自身的挑戰。想要獲得準確資訊，瞭解套用哪些修補程式能夠將風險降至最低並非易事。這需要找出資產所有者，並且促使他們暫緩其他業務活動，優先進行修補工作。修補也很費時，並且可能導致某些資產停機。修補工作進行時，可能需要利用其他安全系統來保護資產。最後，需要驗證修補工作是否成功，以及業務風險實際上是否有所降低。

請記得，弱點管理是個持續進行的過程。此部落格所討論的弱點管理生命週期步驟，在 Cyber Exposure 做法上必須不斷重複才能彰顯成效。在隨後的部落格文章中，我們將會更深入剖析弱點管理生命週期的每個步驟。敬請期待。