成功執行信息安全漏洞分析的關鍵步驟
對企業而言,執行信息安全漏洞分析是一項非常有利的操作,但它很少被正確執行。首先,企業必須先了解執行信息安全漏洞分析的目的,然后才能進一步證明它是有用的。網絡漏洞分析是根據已證明的標準來審查網絡,從而確定哪些關鍵區域需要改進。
企業應使用網絡安全漏洞分析來查找其網絡上的漏洞,同時幫助發現需要注意的地方。安全小組可能、或不可能已經認識到被發現的漏洞,但該過程(指進行安全漏洞分析)為發現和解決網絡安全問題提供了一個機會,并以最小的工作量去修補問題;同時,它以一個正式的方式為高層管理人員展現了更多復雜的、突出的問題。
當執行網絡漏洞分析時,企業需要一個基準去比較其各個環境,常用基準是一個或多個組織或行業的標準或法規。現在有很多這樣的框架,其中的一些是規定,比如支付卡行業數據安全標準(PCI DSS),而其他的則是關于如何運用標準和最佳業務實踐的好例子,比如來自美國國家標準與技術研究院(NIST)的內容。很少有企業能夠完全徹底地符合任何標準,應該利用在分析中所發現的漏洞,以確定需要解決的領域和日后需要重點關注的地方。如果選擇的框架并不涵蓋一切需要,企業可以結合不同標準的其他方面來創建一個初始的基準。根據你的行業和你的環境,很難找到一個框架將完全滿足你的所有需求。使用一個標準為基準,連同其他不同的基準控制是完全正常的。管理員必須自己判斷他們應該在分析中輸入什么內容。大多數框架將非常有效,但這取決于你最后所決定的框架的最終樣子。這是一個頗具權威的起點,但企業還是應該選擇適合自己獨特標準和業務目標的控制。這并不意味著不能改變,但在你的分析開始之前,你應該試試并確定你的框架。
一個漏洞分析可劃分為四個主要領域:政策和程序,審計,技術審查和調查結果/優先級匯總。上述四個階段進行如下。
信息安全漏洞分析第1步:政策和程序
在這個初始階段,企業需根據其網絡安全策略審查應用于網絡的所有書面或電子形式的程序。更糟的是網絡文件共享中的陳舊政策,它們未被修訂和使用。移除不需要的,更新當前的,刪除舊的,同時以書面形式添加任何新的政策。如果網絡安全政策沒有被定期審核,那么對企業來說它們就絕對是無用的。
這樣的例子是顯而易見的,比如當你網絡上的防火墻改變時。改變時,你的策略是什么?誰可以對你網絡上的防火墻進行更改?企業需要注意的政策的要求更換;管理需要理解審批程序,而管理員需要有標準作業程序來合理地完成變化。
信息安全漏洞分析第2步:審計
漏洞分析的第二階段是審計,其中包括審查帶有不斷更新政策和程序的框架。此外,通過運用框架標準,驗證企業是否遵循自己的政策。分析不僅是一個技術問題,而是一個人的問題。例如,工程師們需要注意當改變防火墻時要遵循的政策,他們必須輸入適當的變更管理票并審查。
例如,當審計防火墻上開放的端口時,企業應該能夠為每個端口顯示所有適當的變更控制票(changecontrol tickets)。當防火墻里的一個空穴沒有變更控制時,這就是一個漏洞,在技術和程序上都需要填補。選定的框架所協助的端口應該是開放的,然后考慮到框架,通過審查網絡,企業可以得出結論,看是否有漏洞需要修補。還是用防火墻的例子,如果入站防火墻中的端口3389被打開了,首先要確定應對這種變化的合適的變更控制。這有助于審計程序。接著,使用選定的框架再進一步審查,并確定這個入站端口被打開是安全漏洞還是違反企業標準。這就是如何將審計程序和政策框架聯系在一起。
信息安全漏洞分析第3步:技術審查
漏洞分析的第三個階段是網絡的技術審查。這個階段與審計階段是緊密結合的,但比起政策和程序,它更依賴于框架。在審計階段,企業需要政策和程序,并針對它們應用框架以確保符合新的標準。在技術審查階段,企業驗證其技術基礎設施是否是最新的架構,并考察系統安全的粒度級別。在網絡上應用框架,以確定框架是否符合標準。例如,如果一個框架的狀態是IPS被安裝在出站過濾防火墻上,企業應驗證這樣是否正確。如果不正確,企業需要用技術來填補這些在其網絡上的漏洞。
這是為了驗證相應的技術控制是否到位。最終這又與審計聯系到一起,但框架必須首先達到標準。問問這樣的問題:企業在所有的服務器上都使用了殺毒軟件嗎?是否有漏洞管理?在數據庫上使用了加密嗎?這些都是一些控制例子,用于比較框架是否落實到位。這為企業提供了清晰的了解,并使企業可以掌握哪些地方累加了當前的標準。
信息安全漏洞分析第4步:結果和優先級匯總
最后,第四階段是審查結果和新任務的優先次序。這個階段中,企業要審查其他階段的結果,評價發現了什么,并安排任務來修復漏洞。包括與管理人員見面、訪問需要的任何人,以獲取更多信息。還包括解決政策和程序中的漏洞,討論需立即進行的可能修復、以及為滿足現有基準在技術上需要什么到位。
適當的優先級也應該出現在所有這些階段。為消除這些漏洞,這個領域需要討論和解決。最后,企業應定期運行漏洞分析,從而確保它不會倒退、或回到過去的壞習慣。應該有一個關于需要改進的地方的運行列表。這個列表可以由審計團隊編寫,當他們在計劃的漏洞分析間做現場審計時。一旦發現異常,應審查特定區域的框架。企業的目標是擁有一個始終如一的一致性框架,而不是每年都需要清理。當這些問題被發現,應立即修復或引起高層管理人員的注意。
結論
請記住,進行網絡安全漏洞分析并不是一件容易的事情,它可能需要很長的時間去符合企業的選定框架標準。進行分析時,企業可能會有一些令人不快的發現(如發現很多漏洞),但這正是進行分析的目的。最終的目標是,保護企業免受那些故意傷害,這意味著,企業需要在攻擊者發現之前發現那些問題。
