漏洞管理方案的最佳实践
漏洞管理方案可以采取以下四个步骤,其中每个步骤中都包含若干个子任务:
(1)确定资产风险程度
(2)资产所有者
(3)扫描频率
(1)漏洞修补时间表
每一个步骤都涉及一个可测量的重复性过程,以及一个执行阶段。当然,其目标是创建一个受控且优化的程序,以实现持续的改进。
阶段一:资产发现与盘点
根据CIS关键安全控制系统以及其他当局的规定,资产发现与盘点是所有漏洞管理系统的首要环节。毕竟,我们无法保护未知的东西。
网络上所有授权或未授权的设备,以及安装在组织网络资产上的所有软件都是相互联系在一起的,而攻击者则总是会试图去识别那些更容易攻击的系统。组织需要确保信息安全团队对网络上的资产具有一定的了解,这样他们才能更好地保护这些系统。同时,组织还需要为这些系统的所有者提供指导,从而减少其资产所面临的风险。
在许多情况下,系统的部署都是没有通知信息安全团队的。从测试服务器到托管公司数据的云系统。如果没有适当的资产发现和网络访问控制,这些类型的设备都可能会导致一个简单的网关,从而为攻击者进入内部网络提供方便。
阶段二:漏洞扫描
(1)资产分类
资产清点完成后,组织应根据资产对组织的真实风险,来对其进行分类和排序。在创建资产固有风险的评级机制时,组织需要考虑到诸多因素,例如与更高风险级别资产的物理或逻辑联系、用户访问权限以及系统的可用性。举个例子,生产环境中的资产比测试环境中的资产具有更高的风险级别,而面向互联网的web服务器则比内部文件服务器具有更高的风险级别。
然而,尽管有些资产的风险级别较低,但对它们的修补工作仍不能被忽略。因为攻击者可以选择利用这些资产来获得访问权限,进而对多个系统进行攻击。他们在网络中穿行,直到发现存有敏感数据的系统。因此,修补工作应始终以总体风险为基础。
(2)资产所有权
系统的所有者需要对其资产以及相关的风险负责。当这些资产受到攻击时,相应的资产所有者则需要承担起责任。资产所有权的确定对于漏洞管理工作的成败至关重要,因为它推动了组织内部的问责制以及相关的修补工作。如果没有人来承担责任和风险,那么对风险的修补工作也就同样没有人来推动。
(3)扫描频率
作为持续漏洞管理的一部分,组织应频繁地利用自动化漏洞扫描工具,来对网络上的所有系统进行扫描。这种频率可以由多种动态因素来决定。根据资产的不同分类,该频率可以是每年扫描一次,也可以是每周扫描一次。频繁的扫描可以帮助资产所有者跟踪修补工作的进展,识别新的风险,并通过新的智能技术来重新确定漏洞修补的优先级。
当一个漏洞首次发布时,由于没有已知的相关漏洞,所以它的漏洞分数往往较低。但当它“存活”一段时间后,自动化攻击工具包也逐渐变得可用,这就进而增加了该漏洞的风险程度。一个曾经被认为是不可用的系统,在经过了引入新软件或补丁回滚后,都有可能会变得容易受到漏洞或漏洞组的影响。
资产变动所导致的风险是由许多因素所决定的。频繁地扫描可以确保资产所有者能够及时了解最新信息。作为一个外部限制,漏洞扫描进行的频率应不少于每月一次。
记录在案的时间表和修补阈值
越容易遭到攻击的漏洞往往越需要得到及时的修复。尤其是那些可以给攻击者提供特权控制的漏洞。对于那些评分较低的漏洞,则可以根据组织的风险偏好来商定具体的时间表去进行修复。
如果系统所有者无法在批准的时间范围内修复漏洞,那么修复异常处理程序就派上了用场。作为该过程的一部分,系统所有者应该有一个对风险的书面理解和接受,以及一个可行的行动计划,确保能够在某个确切的日期之前将漏洞修补完成。漏洞异常处理程序始终都应该有一个截止日期。
阶段三:漏洞检测
已授权或未经授权的扫描都可以帮助识别漏洞,并且组织也可以通过部署代理来确定漏洞的状况。通常,攻击者会使用未经授权的视图来查看系统。因此,未受信任的扫描会提供给“原始”攻击者一份类似的视图。
未经授权的扫描可以识别一些高风险的漏洞,例如那些可以被攻击者远程检测并攻击的漏洞,这些漏洞可以帮助攻击者进一步访问组织系统。然而通常情况下,还会存在一些无法检测到的漏洞,这些漏洞能够在系统不知情的情况下,下载附件或恶意链接,从而帮助攻击者实施攻击。
使用受信任的扫描或部署代理都是更为全面,且值得推荐的漏洞扫描方法。这两种方法提高了漏洞风险评价的准确性。而那些在盘点阶段被检测到的,特定于操作系统和已安装应用程序的漏洞签名,则可以用来识别存在哪些漏洞。
阶段四:报告和补救
对于组织来说,在构建漏洞管理程序的初期,就得到一个非常高的平均漏洞分数和一个漫长的修补周期,并不是一件罕见的事。关键的是每月、每季度以及每年都会有所改善和进步。
随着团队对修复过程的逐渐熟悉,以及对攻击者所构成风险的了解不断加深,漏洞风险评分和修复时间也会随之降低。
为了推动漏洞修复,系统所有者需要获得一些经验性的漏洞数据来概述:哪些漏洞应该被修复,同时也需要一些漏洞报告来指导:如何进行补救。其中报告的内容应包括风险最高的主机、得分最高的漏洞以及针对特定高风险应用程序的报告。这样系统所有者就可以重点关注并优先考虑那些对组织构成风险最大的漏洞。
当进行新的漏洞扫描时,组织可以将新的漏洞扫描结果与之前的扫描结果进行比较,从而对风险的趋势以及修复进程进行分析。
漏洞和风险管理是一个持续的过程。一个成功的程序应不断优化自身,并与组织内部网络安全项目的风险降低目标保持一致。另一方面,此过程也应得到定期的审查,同时也需要鼓励工作人员时刻了解信息安全方面的最新威胁和趋势。只有确保人员、流程和技术的持续开发到位,才能最终取得企业漏洞和风险管理方案的成功。
漏洞管理是一个涉及多个要素的复杂过程,需要人员,流程以及相关技术组件的共同努力。其中技术和流程都是不可或缺的辅助因素,而人员才是整个漏洞管理工作中最核心的部分。一方面,辅助性技术组件仅能帮助完成一些重复性的程序化操作,而其中的规则以及非程序化决策最终均需要由专业人员来制定。另一方面,即使是最为完善的流程,同样也离不开人员的推动。因此,在漏洞管理方面,人员水平的提升尤为关键,尤其是高层人员的综合水平。
参考阅读
漏洞管理走向何方?
不可利用漏洞造成漏洞管理疲劳
CISO 仍然会犯的漏洞管理错误
漏洞管理:亡羊补牢,未为迟也
基于漏洞优先级技术,构建以真实风险为中心的漏洞管理系统