推动漏洞修复路上的二三事儿

“小张,以后咱们部门的漏洞修复工作,你来推一下。”
“好的……”
从这天开始,小张在漏洞修复的路上越走越远……
小张之前就听闻漏洞修复很难推,大概是说天天催的好像求人一样人家还不动,而且由于数据量大导致处理起来工作量很大。
可是领导安排的工作必须重视呀,不但做还要把它做好!
求人咱不干,可以借助领导的力量;数据量大没关系,咱excel用的还可以。
嘿嘿,开动!
小张赶紧登录漏洞管理系统,看看自己部门有多少漏洞。1000+,还好还好,不是特别多。
那就找到负责人,推送漏洞、提醒修复吧。找人还不容易嘛,把二级部门、系统责任人字段调出来就有了~
马上,小张就遇到了第一个坑:
资产信息维护不到位!
说好的二级部门信息呢?系统负责人呢?一片空白!
再仔细研究一翻,原来部分二级部门信息是有的,只是跟系统名称合一起都填在“系统名称”字段了,可是系统负责人信息的确一片空白!那找谁修复呢!
漏洞管理系统里明明设计了“二级部门”、“系统负责人”字段呀,为什么不按规矩填二级部门、完全不填系统责任人呢?
其他一级部门也是这样吗?去瞅瞅……呵呵呵呵,基本都是一片空白,好吧,那就认领吧。
将漏洞信息用excel导出,冻结首行、自动筛选、设置好下拉选项,完美!
分别发给二级部门安全接口人认领,先线上推送待外加沟通,再线下一一当面沟通、核对。
撸起袖子加油干啊,然而第二个坑迎面而来:
资产归属不清晰!

二级部门A说:这些是,但是a系统不是我们部门的;

二级部门B说:这些是,但是b系统不是我们部门;

二级部门C说:这些是,但是c、d系统不是我们部门的,好像组织架构调整时飞哥带到一级部门α了,你可以问问飞哥……
小张心想还是先请教一下老员工大哥,看看a、b系统是哪个部门的吧,万一都是飞哥他们部门的呢,也好一起确认完了。
果然,老员工大哥说a系统好像就是飞哥他们部门的,不过b系统是一级部门β的。
“飞哥,麻烦看一下b、c、d系统是你们负责的吗?”小张笑着问道。
“b、c系统是,但是d系统就是你们部门的,别老说移交给我们了,这还是你们的!”飞哥越说越激动。
小张能怎么办,默默的再回去问二级部门C:“飞哥说,d系统没有带走,还在你这里,麻烦你再确认一下吧。”

“哦,好……”说着二级部门C朝着龙哥喊道“龙哥,d系统是不是还在你这里呀?”

“是啊,怎么了?”龙哥倒认的挺快,终于找到主了。
可是,还有b系统没找到主呢,于是小张又踏上了往返自己部门和其他一级部门的路上……
打了N多口水战后,小张终于把95%的系统归属理清楚了。

不管了,得先把大家修复漏洞的工作动起来。

也是时候让领导了解一下自己部门的漏洞情况了,那就发个邮件,发给各二级部门安全接口人,抄给boss们。
那邮件除了要把漏洞情况写清楚,还得给漏洞修复建议呀,第三个问题不期而遇:
所有的漏洞都得修复吗?
当然不,没有100%的安全,但是风险得是可以接受的,推动漏洞修复的本质目的还是降低风险。
那除了直接修复这种硬刚的方式,还可以采用修护城墙、建护城河这种加固方式,或者选择下线。
文字一堆,不如表格一个,小张设计了漏洞情况报告表如下,整理好数据、苦口婆心的再阐述一翻漏洞的危害,讲一讲处理的方式,写好邮件,点击发送。
整理数据看的小张眼睛生疼,长久的保持一个坐姿弄得肩膀酸疼,邮件发出了,终于可以缓口气了。抬头一看,身边的同事已经走的差不多了,外边的灯光闪闪。
第二天上班,又是一个新的开始,打开电脑、打开邮箱,咦~大boss给回复了:请小张以后每周通报一次漏洞修复进度
哈哈O(∩_∩)O,这难道不是一个好的开始么~以后定期通报数据就顺利成章了。
“小张,我们部门的系统是这样的,我们找了厂商,但是……”
“小张,这个漏洞怎么修复呀?是不是这样做就可以了?”
……

虽然还有资产没找到主儿,还有人看到通报邮件也无动于衷。

但是确实有人动起来了呀,领导也给了大旗呀,希望是有的,前途是光明的。
小张信心满满地转身投入疑问解答和支持中。

扩展  ·  本文相关链接

· UEBA如何在企业有效地应用与落地

· 安全运营的定义与核心目标

·SOAR还面临着一条很难跨越的鸿沟

·网络安全成熟度与投入产出比

·这些年我对安全成熟度模型的一点点思考

·透过等保2.0,解读当前网络安全新趋势

· OODA循环在网络安全运营平台建设中的应用

·基于主动防御能力,建设安全运营体系的一点思考

·如何利用量化指标评价网络安全建设成熟度(四):安全运营评价指标

·如何利用量化指标评价网络安全建设成熟度(三):安全控制评价指标

·如何利用量化指标评价网络安全建设成熟度(二):评价过程与方法

·如何利用量化指标评价网络安全建设成熟度(一):框架模型

· 系统开发中安全控制要求落地(下):上线部署、项目结项

· 系统开发中安全控制要求落地(中):系统设计、系统实现

· 系统开发中安全控制要求落地(上):项目准备、项目启动

· 系统运维中安全控制要求落地(下):门禁系统管理、第三方人员管理、互联网访问与终端安全

· 系统运维中安全控制要求落地(中):安全基线管理、补丁管理、防病毒、账号口令管理

· 系统运维中安全控制要求落地(上):系统备份、系统监控与变更管理

(0)

相关推荐