漏洞管理 (VM) 計劃不僅僅是在合規檢查表中勾選一個方框，它是任何整體安全策略的核心。組織可能認為他們的 VM 程序很強大。但它們在日益復雜和復雜的威脅環境中是否有效？這就是漏洞管理 KPI 和指標發揮關鍵作用的地方。

漏洞管理的 KPI 和指標有助于量化與漏洞相關的風險，并有效衡量漏洞管理計劃的健康狀況。如果組織或 CISO 選擇了錯誤/冗余的指標，他們將無法獲得正確的結果，這將反映在他們的安全策略中。

重要的漏洞管理 KPI

1.檢測時間

此漏洞管理 KPI 衡量整個組織中漏洞創建和檢測之間的平均時間間隔。例如，在上個月發生的更新期間，應用程序中引入了一個漏洞，而該組織僅在上周發生攻擊后才設法檢測到該漏洞。

CISO 和 IT 安全團隊應持續工作，以將檢測時間縮短為數天、數分鐘和數秒。還建議定期進行滲透測試和安全審計，并使用自動掃描工具以獲得更好的結果。

2.解決/緩解漏洞的時間

此 KPI 顯示 IT 安全團隊解決漏洞和緩解攻擊所花費的平均時間。如果這需要更長的時間，風險就會加劇，攻擊者就會找到攻擊的空地。

該指標將查看以下內容：

• 同時解決/減輕，
• 受違規/事件影響的用戶百分比
• 同時是否滿足組織根據其風險偏好設定的目標時間？
• IT 安全團隊多久能解決這個問題？

3.平均曝光窗口

該漏洞管理指標揭示了漏洞公開披露與修補所有受影響的系統/應用程序/網絡所需時間之間的平均時間差距。此窗口越大，風險越高。

4.開放高/嚴重漏洞的數量

此漏洞管理 KPI 會告訴您有多少高風險和嚴重漏洞未修補以及保留了多長時間。選擇忽略此指標可能會導致巨大的損失。

5.周轉補丁的平均時間

該 KPI 突出了補丁管理流程的有效性，告訴您修補未知/未檢測到的漏洞所需的平均時間。

6.例外情況的數量

由于不同的原因，組織通常會選擇免除某些漏洞的掃描和/或修復。但是，出于審計目的以及根據不斷變化的風險態勢采取未來行動，需要跟蹤這些異常情況。

7.綜合掃描覆蓋

• 漏洞識別掃描過程中包含哪些資產、應用程序、系統、第三方服務等？
• 是否包含關鍵業務資產和應用程序？
• 執行哪些類型的掃描？

這些是該指標提供答案的一些問題。您涵蓋的清單越多，您通過安全程序行使的控制力就越大。

8.漏洞重開率

此 KPI 告訴您漏洞修復和補丁管理流程是否有效。如果已解決的漏洞頻繁重新打開，則表明您的修復過程存在嚴重缺陷。

9.每個資產組/業務單元的平均風險

此漏洞管理 KPI 使您能夠了解資產組/業務部門面臨的風險，從而重新將您的重點放在 VM 程序中。

您可以忽略的 VM 指標

1.漏洞數量

此漏洞管理KPI未說明與漏洞相關的嚴重性、優先級、可利用性、影響或風險。因此，如果 CISO 要告訴董事會他們發現了 10000 個漏洞并全部修復，董事會可能不愿意分配更多資金。但是，如果您告訴他們您發現了一個可能完全削弱業務的漏洞，他們可能會看到業務案例。

2.掃描次數、攻擊次數、打補丁次數等

從技術角度來看，這些指標可能很重要，但不會為 VM 程序的改進增加價值。但考慮到它們可能會給業務利益相關者帶來一種錯誤的安全感。

3.平均 CVSS 分數

這種標準化的 VM 指標不反映漏洞或風險狀況的特殊性。

前進的道路

安全是一項共同的業務責任，而不僅僅是 CISO 的特權。漏洞管理 KPI 和報告不能簡單地陳述技術術語和數字，而是必須告訴最高管理層漏洞如何影響業務和日常運營。