漏洞管理的定義與最佳實(shí)踐
漏洞管理(VM)是每個(gè)全面信息安全項(xiàng)目的必備基礎(chǔ),不是什么可選項(xiàng)。事實(shí)上,很多信息安全合規(guī)、審計(jì)及風(fēng)險(xiǎn)管理框架都要求公司企業(yè)擁有并維護(hù)好漏洞管理項(xiàng)目。
如果你還未購置漏洞管理工具,或者你的漏洞管理項(xiàng)目只是臨時(shí)設(shè)置的,那么馬上專設(shè)一個(gè)漏洞管理項(xiàng)目應(yīng)該成為你的首要任務(wù)。實(shí)際上,互聯(lián)網(wǎng)安全中心(CIS)的第三號(hào)關(guān)鍵安全控制就倡議將持續(xù)漏洞評(píng)估與緩解作為風(fēng)險(xiǎn)與治理項(xiàng)目的組成部分。
如果你仍認(rèn)為漏洞管理策略不過是戰(zhàn)術(shù)性運(yùn)營工具,或許你可以重新考慮一下。漏洞管理應(yīng)該成為你安全項(xiàng)目的重要基石。
一、漏洞管理定義
無規(guī)矩不成方圓,沒定義雞同鴨講,要確保大家討論的是同一件事,就得先明確討論主題的定義。漏洞管理過程一項(xiàng)持續(xù)的信息安全風(fēng)險(xiǎn)事業(yè),需要多方面的管理督導(dǎo)。漏洞管理主要由4個(gè)高級(jí)過程組成:發(fā)現(xiàn)、報(bào)告、優(yōu)先化及響應(yīng)。強(qiáng)漏洞管理框架中,每個(gè)過程和子過程都是著重改善安全和減少網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)的持續(xù)周期的一部分。
二、漏洞管理***實(shí)踐
1. 以發(fā)現(xiàn)和再發(fā)現(xiàn)管理漏洞
發(fā)現(xiàn)過程是要找出網(wǎng)絡(luò)資產(chǎn),并加以分類和評(píng)估。關(guān)于資產(chǎn)的信息應(yīng)按數(shù)據(jù)類型分類,比如漏洞、配置、補(bǔ)丁狀態(tài)、合規(guī)狀態(tài)或者僅僅是資產(chǎn)庫存。
發(fā)現(xiàn)過程應(yīng)找出網(wǎng)絡(luò)上的每個(gè)計(jì)算資產(chǎn)(沒錯(cuò),就是每一個(gè)),并建立起其他漏洞管理過程可使用的知識(shí)庫。由于網(wǎng)絡(luò)不停在變,資產(chǎn)信息也需持續(xù)更新。
2. 報(bào)告,報(bào)告,報(bào)告
發(fā)現(xiàn)過程中找出的數(shù)據(jù)通常以各種不同的形式報(bào)告給相應(yīng)的受眾。報(bào)告過程應(yīng)創(chuàng)建饋送至漏洞管理過程的優(yōu)先順序矩陣。畢竟,每個(gè)漏洞的原始數(shù)據(jù)未必都那么有用。理想狀態(tài)下,這些報(bào)告應(yīng)能為戰(zhàn)術(shù)性運(yùn)營任務(wù)所用,而在較高層級(jí)可為高層管理提供可見性及面向業(yè)務(wù)的風(fēng)險(xiǎn)指標(biāo)。
三、優(yōu)先級(jí)最重要
優(yōu)先化是根據(jù)預(yù)定義特征集排序已知風(fēng)險(xiǎn)的關(guān)鍵漏洞管理過程。舉個(gè)例子,優(yōu)先化應(yīng)引發(fā)這樣的思考過程:面對(duì)來自發(fā)現(xiàn)過程的當(dāng)前資產(chǎn)狀態(tài)、該特定資產(chǎn)的價(jià)值及已知威脅,風(fēng)險(xiǎn)到底有沒有重要到我們應(yīng)花費(fèi)資源去緩解?或者,該特定資產(chǎn)當(dāng)下的已知風(fēng)險(xiǎn)是不是公司可接受的?
優(yōu)先化的目標(biāo)是要用漏洞管理工具創(chuàng)建一張自定義的事件處理順序表。理想狀態(tài)下,該經(jīng)過優(yōu)先排序的動(dòng)作列表被饋送到標(biāo)簽系統(tǒng)共IT運(yùn)營使用,讓系統(tǒng)管理員據(jù)此執(zhí)行特定任務(wù)。
四、風(fēng)險(xiǎn)響應(yīng)
風(fēng)險(xiǎn)響應(yīng)是漏洞優(yōu)先化過程的下半場(chǎng)。基本上,風(fēng)險(xiǎn)響應(yīng)是企業(yè)選擇來解決已知風(fēng)險(xiǎn)的方法(注意:無視風(fēng)險(xiǎn)并非響應(yīng)方式之一)。
解決風(fēng)險(xiǎn)的方法分為3類:修復(fù)、緩解,或是接受。修復(fù)可以理解為修正已經(jīng)發(fā)現(xiàn)的錯(cuò)漏。比如說,因?yàn)橥舜蜓a(bǔ)丁而導(dǎo)致的漏洞,就可以通過安裝補(bǔ)丁程序來加以修復(fù)。
另一方面,緩解是通過采取一些基本不在受影響系統(tǒng)直接管轄范圍之內(nèi)的其他動(dòng)作來減輕風(fēng)險(xiǎn)。比如說,針對(duì)系統(tǒng)上發(fā)現(xiàn)的Web應(yīng)用漏洞,不是去修復(fù)漏洞,而是去安裝一個(gè)Web應(yīng)用防火墻。漏洞依然存在,但有了Web應(yīng)用防火墻,風(fēng)險(xiǎn)也就消弭了。
接受風(fēng)險(xiǎn)則是選擇既不修復(fù)也不緩解,單純承認(rèn)并接受風(fēng)險(xiǎn)的存在。舉個(gè)例子,安全運(yùn)營團(tuán)隊(duì)可能會(huì)建議實(shí)驗(yàn)室設(shè)備運(yùn)行殺毒軟件。但公司利益相關(guān)者卻會(huì)因殺軟可能影響工程測(cè)試用例而選擇不采用殺軟。這種情況下,公司選擇接受已知風(fēng)險(xiǎn)。
五、范圍之內(nèi),范圍之外
取得對(duì)漏洞管理包含內(nèi)容及其重要性的共識(shí)后,就可以接著討論有什么東西不屬于漏洞管理轄下的了,因?yàn)樗坪鹾芏嗳藢?duì)此不甚清楚。
1. 滲透測(cè)試不在漏洞管理范圍內(nèi)
漏洞管理不是滲透測(cè)試。有產(chǎn)品掃描公司系統(tǒng)并不意味著公司就有了滲透測(cè)試工具。事實(shí)上,情況正好相反。漏洞管理掃描器往往檢查的是某個(gè)補(bǔ)丁是否安裝之類的特定情況存不存在。
而滲透測(cè)試工具實(shí)際是要嘗試使用預(yù)定義的漏洞利用程序突破公司系統(tǒng)。雖然兩種類型的測(cè)試最終交出的結(jié)果可能都是同樣的建議,但達(dá)成這些結(jié)論的途徑卻有很大不同。如果想要進(jìn)行良好的滲透測(cè)試,你需要的可能不僅僅是一個(gè)工具。滲透測(cè)試詳盡繁復(fù),包括物理測(cè)試和面對(duì)面的交談以及其他很多東西。
2. 配置漏洞管理
雖然很多漏洞管理系統(tǒng)能與配置管理系統(tǒng)協(xié)作,但兩者之間還是存在很大不同。事實(shí)上,CIS對(duì)此有很多論述。漏洞管理覆蓋與系統(tǒng)配置和風(fēng)險(xiǎn)標(biāo)記相關(guān)的問題,而系統(tǒng)配置的運(yùn)營與管理則是配置管理程序的特殊部分。
六、定義持續(xù)漏洞管理
漏洞管理數(shù)據(jù)的狀態(tài)取決于***一次更新的時(shí)候。與審計(jì)類似,報(bào)告的數(shù)據(jù)僅與最近一次評(píng)估相關(guān)。創(chuàng)建最相關(guān)數(shù)據(jù)集的關(guān)鍵在于定期執(zhí)行漏洞管理程序。對(duì)某些公司而言,這個(gè)頻率是每天或每周。一個(gè)季度一次更新是談不上什么持續(xù)不持續(xù)的,一年一次評(píng)估更是與持續(xù)搭不上邊,因?yàn)槲覀兌贾溃W(wǎng)絡(luò)變化的速率會(huì)讓年度數(shù)據(jù)在一年中的11個(gè)月里都是無用的。
七、應(yīng)該做的和不應(yīng)該做的
漏洞管理只是安全項(xiàng)目的其中一部分,解決不了整個(gè)風(fēng)險(xiǎn)管理問題。漏洞管理是安全項(xiàng)目的基礎(chǔ),只有全面了解自家網(wǎng)絡(luò)上都有些什么,才能有的放矢。如果連網(wǎng)絡(luò)上有些什么都不知道,又何談保護(hù)?你還得理解網(wǎng)絡(luò)上每個(gè)資產(chǎn)各自的面臨的風(fēng)險(xiǎn),才可以有效確定優(yōu)先級(jí)并加以修復(fù)。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
