CISA的安全设计承诺与平台建设

关键要点

CISA的安全设计承诺为未来的网络安全提供了重要指引。当前的网络环境充满漏洞，组织难以获取风险和曝光的可视性。老旧设备更易受到攻击，亟需加强基础网络安全措施。CISA承诺的七大目标侧重于减轻和修复现有漏洞。组织必须全面管理威胁生命周期，优先处理最有可能被利用的漏洞。

随着全球网络攻击尝试在2023年增加了一倍，组织需紧急关注网络安全的“基础工作”，以有效降低风险。CISA网络安全和基础设施安全局的安全设计承诺显示出积极的前景，它强调了基础安全措施的重要性。

漏洞管理的重担

CISA的安全设计承诺涵盖了七个目标，企业软件供应商正自愿朝着这些目标努力。主要目标包括： 实施多因素认证MFA 减少默认密码 消除某些类型的漏洞 提高安全补丁的安装率 改善漏洞披露政策 发布CVE公共漏洞和暴露 提供入侵证据

这一承诺的主要目标之一是减轻和修复漏洞问题。2023年发布的漏洞数量超过29000个。然而，超过80的攻击利用的漏洞是在CVE发布之前就已被公开的，然而组织仅修复了61的被利用的漏洞。

漏洞披露和补丁管理是共同的责任。供应商可以改善其漏洞披露与补丁管理流程，但最终还是取决于安全团队及时部署补丁。团队需要专注于基本原则：优先处理和操作化补救措施。

全面方法进行优先级和修复

管理风险和曝光是一个多层面挑战，且可视性是其中重要部分。它是组织识别和减轻网络资产风险的基础，有助于修复安全问题和漏洞，进而保护整个攻击面。因此，诸如ISO 27001和CMMC等常见安全框架都以全面的资产清单为起点。然而，单靠可视性并不能解决问题。

组织必须管理威胁的整个生命周期，优先处理那些最有可能被利用并对业务产生负面影响的漏洞。不幸的是，依赖于通用漏洞评分系统CVSS来修复漏洞的组织可能会浪费时间，因为CVSS并不能作为风险衡量标准。

相反，组织需要利用包括人工智能在内的先进技术，以发现和整合安全发现，优先应对，确立责任，并与开发与运营相关的利益相关者合作以进行修复和降低风险。

黑洞加速器vp

通过实施这些全面措施，组织可以简化风险评估和修复工作，减少安全警报的数量，并改善其平均修复时间MTTR。

回归基础

组织应该部署能够全面观察其网络基础设施的工具和技术，实时检测和响应威胁。这包括以下内容：

识别和处理盲点：持续监控和评估网络，以发现和修复漏洞。进行定期资产清查：定期清查和审查资产，识别关键系统并优先保护。优先处理风险：通过评估潜在影响和不同威胁的可能性来重点关注最关键的漏洞，从而进行战略性资源分配和有效的安全措施。实践主动的漏洞管理：持续改进漏洞补丁管理流程，强调快速部署和有效修复。

CISA的安全设计承诺为未来的网络安全提供了前瞻性的蓝图，强调安全运营团队在解决影响深远的漏洞问题时的重要性。通过利用承诺中的原则，例如主动的漏洞管理，组织可以增强抵御日益严重的网络威胁的能力。最终，成功实施安全设计承诺的关键在于对网络安全“基础工作”的基本承诺，确保所有系统无论是新旧都能抵御潜在攻击。

Nadir Izrael，Armis联合创始人兼CTO

本文由SC Media网络安全领域的专家提供，旨在就重要的网络安全