CISA的安全设计承诺与平台建设

关键要点

• CISA的安全设计承诺为未来的网络安全提供了重要指引。
• 当前的网络环境充满漏洞，组织难以获取风险和曝光的可视性。
• 老旧设备更易受到攻击，亟需加强基础网络安全措施。
• CISA承诺的七大目标侧重于减轻和修复现有漏洞。
• 组织必须全面管理威胁生命周期，优先处理最有可能被利用的漏洞。

随着全球网络攻击尝试在2023年增加了一倍，组织需紧急关注网络安全的“基础工作”，以有效降低风险。CISA（网络安全和基础设施安全局）的安全设计承诺显示出积极的前景，它强调了基础安全措施的重要性。

漏洞管理的重担

CISA的安全设计承诺涵盖了七个目标，企业软件供应商正自愿朝着这些目标努力。主要目标包括： - 实施多因素认证（MFA） - 减少默认密码 - 消除某些类型的漏洞 - 提高安全补丁的安装率 - 改善漏洞披露政策 - 发布CVE（公共漏洞和暴露） - 提供入侵证据

这一承诺的主要目标之一是减轻和修复漏洞问题。2023年发布的漏洞数量超过29,000个。然而，超过80%的攻击利用的漏洞是在CVE发布之前就已被公开的，然而组织仅修复了61%的被利用的漏洞。

漏洞披露和补丁管理是共同的责任。供应商可以改善其漏洞披露与补丁管理流程，但最终还是取决于安全团队及时部署补丁。团队需要专注于基本原则：优先处理和操作化补救措施。

全面方法进行优先级和修复

管理风险和曝光是一个多层面挑战，且可视性是其中重要部分。它是组织识别和减轻网络资产风险的基础，有助于修复安全问题和漏洞，进而保护整个攻击面。因此，诸如ISO27001和CMMC等常见安全框架都以全面的资产清单为起点。然而，单靠可视性并不能解决问题。

组织必须管理威胁的整个生命周期，优先处理那些最有可能被利用并对业务产生负面影响的漏洞。不幸的是，依赖于通用漏洞评分系统（CVSS）来修复漏洞的组织可能会浪费时间，因为。

相反，组织需要利用包括人工智能在内的先进技术，以发现和整合安全发现，优先应对，确立责任，并与开发与运营相关的利益相关者合作以进行修复和降低风险。

通过实施这些全面措施，组织可以简化风险评估和修复工作，减少安全警报的数量，并改善其平均修复时间（MTTR）。

回归基础

组织应该部署能够全面观察其网络基础设施的工具和技术，实时检测和响应威胁。这包括以下内容：

• 识别和处理盲点 ：持续监控和评估网络，以发现和修复漏洞。
• 进行定期资产清查 ：定期清查和审查资产，识别关键系统并优先保护。
• 优先处理风险 ：通过评估潜在影响和不同威胁的可能性来重点关注最关键的漏洞，从而进行战略性资源分配和有效的安全措施。
• 实践主动的漏洞管理 ：持续改进漏洞补丁管理流程，强调快速部署和有效修复。

CISA的安全设计承诺为未来的网络安全提供了前瞻性的蓝图，强调安全运营团队在解决影响深远的漏洞问题时的重要性。通过利用承诺中的原则，例如主动的漏洞管理，组织可以增强抵御日益严重的网络威胁的能力。最终，成功实施安全设计承诺的关键在于对网络安全“基础工作”的基本承诺，确保所有系统—无论是新旧—都能抵御潜在攻击。

Nadir Izrael，Armis联合创始人兼CTO

_本文由SC Media网络安全领域的专家提供，旨在就重要的网络安全