CSC 3 – 漏洞管理
关键控制项——“简易五项"现已扩展为"简易六项”
最新"简易六项"清单:
- 硬件资产清单
- 软件资产清单
- 漏洞管理
- 受限管理员权限
- 域系统安全配置
- 日志控制
漏洞管理的本质
根据SecureWorks观点,漏洞管理可能成为安全团队的负担。但本文讨论的范畴更为精细——此处定义的漏洞指可通过现有工具验证的已公开缺陷。需注意:
- 并非所有漏洞都能被扫描工具识别(如暴露在公网的OWA服务)
- 员工社交媒体资料(LinkedIn/Twitter等)同样构成潜在攻击面
中小企业实践方案
对于无力承担Nexpose/Nessus等商业方案的企业:
-
托管服务商选择标准
- 具备SSAE-16/SOC等安全运营认证
- 合理定价(建议年度预算≤5000美元,含季度扫描+定向指导)
-
成本效益分析
- 管理30个系统/服务器的综合MSSP服务(含漏洞扫描/技术支持)约$2000-$2500/年
- 对比单聘安全人员的综合成本,MSSP的ROI优势显著
首次扫描的残酷真相
企业初次进行漏洞扫描时,常发现网络环境存在严重问题。建议应对策略:
- 立即审查现有补丁管理策略
- 若当前IT服务商交付此类结果,给予其最后整改期限
专业提示:BHIS在服务合同中会特别要求客户重点检查系统更新策略