​进入21世纪，尽管计算机网络安全防御技术获得了迅猛发展，但是全球各国面临的网络安全威胁指数不但没有下降，反而呈现急剧上升的态势。漏洞仍然是黑客们最常使用，也最易见效的攻击手段之一。

我们不禁要探讨一下，大多数的受害政府组织和企业都已经部署了漏洞扫描工具和相关安全管控平台，那么是什么原因导致这些组织的漏洞管理工作失效了呢？事实上，漏洞管理失效的原因看似有很多，真正的原因却只有一个：90%以上的漏洞管理失败原因在于缺乏过程管理。

Gartner 2021发布的研究报告指出，导致漏洞管理工作失败最常见的原因就是安全部门把一份几百页的漏洞报告直接发给运维或者业务部门去修复而没有后续跟进。

漏洞预警的主要责任部门是安全部门，但是漏洞的修复和处理工作实际上是由运维或者业务部门来完成。漏洞信息需要在多个部门之间多次传递，整个过程的复杂度会随着业务的复杂度呈现指数级上升。

实际上，流程管理最大的难点在于保持信息透明、目标一致。这就需要从两方面着手：一方面，要建立完善的预警机制，确保流程中的每个组织和相关人员及时、准确的获得预警信息，例如在流程中对每个环节设定完成截止时间，并分级预警。另一方面，要根据不同部门的关注重点设定灵活的考核制度，在保证整体流程目标达成的基础上，兼顾各部门自身目标的达成，从而充分调动各部门的积极性。

不断扩大的协作挑战

01、漏洞信息来源多，数据不统一造成沟通障碍

在实际的漏洞管理工作中，为了尽可能的避免漏报问题，企业安全部门都会采购多个不同厂家的漏洞扫描工具，尽可能的覆盖所有已知漏洞。但是这些漏洞扫描器产生的数据从形式、内容、标准上都不尽相同。不仅管理不便，在沟通中还很容易因为数据不统一产生理解上的分歧。

02、漏洞管理工作依赖于多部门协作完成，流程复杂多变，无法及时预警

漏洞管理是一项高度依赖多部门协作共同完成的工作，安全部门往往无法独立完成。

一般情况下，安全部门负责漏洞的识别和发现，然后分发预警和修复任务到运维部门进行修复。在某些特殊场景下流程将变得复杂多变：

（1）如果漏洞来自于第三方公司开发的业务系统，那么漏洞的修复工作会经过业务人员转交给第三方公司的IT开发人员来完成；

（2）如果在整个修复过程中需要安装系统/软件补丁或者执行配置修改等操作，尤其是涉及到系统重启操作，还需要运维部门的配合与协作。最后，漏洞被修复以后，还需要由安全部门进行复核，确保漏洞真正被修复；

（3）如果有例外情况或者基于业务原因，漏洞被忽略处理，安全人员还需要更新后续的漏洞预警机制，确保同一个漏洞不会再次触发预警，并且会涉及到多个业务部门的审批流程。

图1 多部门协作流程示意

从上述的流程可以看出，漏洞的整个修复流程会涉及到多个部门，多个成员。在企业实际的使用场景中，流程只会更加复杂。由于缺乏一套统一的流程管理制度和机制，因此整个漏洞修复流程严重依赖于“人”的推动，效率很低。

拨乱反治是漏洞管理的关键

面对以上提及的种种问题，华云安团队作为在安全行业深耕多年的老兵，提出了自己的漏洞管理解决方案——灵洞威胁与漏洞管理平台。除了通过PoC方式提供卓越的漏洞识别能力以外，我们还重点设计了一整套漏洞运营管理流程，帮助用户进行事前预警，事中监控，事后检查，覆盖漏洞管理的全生命周期。

图2 灵洞威胁与漏洞管理平台

在漏洞管理流程的设计上，我们主要通过以下四方面解决漏洞管控的协作难题：

01 漏洞数据标准化

灵洞全面兼容市场上流行的常见漏洞扫描工具的数据报告，可通过数据导入或者API自动将这些漏洞数据同步到系统中。并且在导入的过程中，系统将自动基于NLP算法、数据分析引擎实现数据的清洗、过滤、去重，从而将多种来源的漏洞数据进行统一存储和管理。为所有参与漏洞运营管理的工作人员提供标准信息（统一的数据格式，统一的报告内容），避免因为数据不统一产生歧义。

图3 灵洞-导入漏洞

02 管理流程标准化

华云安基于对漏洞全生命周期管理的研究，为整个漏洞管理流程设计了一套标准化的管理流程，我们将漏洞处置过程分为识别、验证、处置、复检、归档五个环节。从发现漏洞到漏洞归档完毕，用户只需要按照系统设定的标准流程进行任务的分派和处理即可，当上一个环节处理完毕以后，任务自然流转到下一个部门和人员。这样，安全部门、运维部门、业务部门全部共享和使用同一个漏洞管理流程，确保跨部门沟通中信息和流程的一致性，所有人都可以看到漏洞的完整流程，以及每个环节中用户执行的操作、花费时间、执行结果等等数据。

图4 灵洞-查看修复任务

03 依环节灵活分级预警

灵洞提供高度灵活的预警机制，帮助用户在整个漏洞运营过程中进行时效和质量的管控。例如，您可以根据漏洞类型、风险等级、修复难度、监管要求设定漏洞的最长处置时间，系统将自动计时，并统计相应的数据。

而且，您还可以为流程中的每个环节设置最长处置时间，并设定相应的预警机制。比如在漏洞的修复环节，我们可以规定当距离截止时间还剩余2小时的时候，给处置人员发送邮件或者短信预警，在超期1小时后自动给处置人员的上级发送超时未处理通知等。

通过分级预警，企业可以在整个运营流程中设定各种管理指标和要求，及时推动相关人员及时进行漏洞相关任务的处理。

04 依角色呈现关键信息

在漏洞运营管理工作中，执行任务的人是核心，而非漏洞本身。传统的解决方案大多只是对信息进行了呈现，忽略了用户的角色和岗位，忽略了“人”才是整体漏洞运营管理工作的核心。

灵洞的特点是基于用户的“个人视角”进行信息展示，只呈现当前环节，当前用户最关心的信息。比如作为安全部门的高层管理者，关注的是整体漏洞风险情况，以及风险分布、风险类别等宏观情况。而作为最终执行漏洞修复的运维人员和开发人员，关注的是分配给他的任务量，以及是否有足够丰富的帮助信息来协助他完成漏洞的修复动作。

图5 灵洞-综合仪表盘

所以，灵洞在信息的展示和呈现上，始终基于用户角色进行工作台设计，并且根据当前用户所处的漏洞流程节点对信息展示重点进行调整，以进一步提升用户体验。

总结

华云安通过标准化的漏洞数据和管理流程设计，为漏洞运营管理工作制定了标准操作流程，确保安全部门、运维部门、业务部门的沟通始终保持在同一个维度上，减少了沟通中的障碍。同时，以用户为中心进行信息的展示和呈现，确保不同用户在漏洞管理工作中始终能够看到自己最关心的信息，极大的提升了漏洞管理效率。