構(gòu)建高效漏洞生命周期管理流程的四個(gè)典型框架
個(gè)性化、復(fù)雜性流程正在制約漏洞管理能力
當(dāng)前,漏洞管理已成為網(wǎng)絡(luò)安全管理不可或缺的手段,其生命周期閉環(huán)管理運(yùn)營流程的優(yōu)劣性直接影響漏洞管理能力。而不同組織的漏洞生命周期管理流程充滿了個(gè)性化、復(fù)雜性的特點(diǎn)。
首先,國家/行業(yè)/區(qū)域漏洞管理、漏洞公開披露、眾測(cè)漏洞管理、常規(guī)安全運(yùn)維中的漏洞管理、應(yīng)用安全漏洞管理、DevSecOps漏洞管理、供應(yīng)鏈漏洞管理、安全加固服務(wù)外包漏洞管理等不同場景中,出發(fā)點(diǎn)、管理對(duì)象、工作內(nèi)容、側(cè)重點(diǎn)有差異,且不同組織可能會(huì)交叉存在多個(gè)管理場景。其次,不同組織企業(yè)文化、管理方式、技術(shù)能力的不同也是造成個(gè)性化、復(fù)雜性的重要因素。
兼容并蓄,降低流程個(gè)性化、復(fù)雜性程度
如何構(gòu)建貼合組織實(shí)際情況的管理流程,并能夠在運(yùn)行過程中持續(xù)優(yōu)化和提升成為挑戰(zhàn)。方法就是借鑒和吸收通用性框架,逐步降低個(gè)性化、復(fù)雜性程度。
縱觀業(yè)內(nèi)眾多的各類漏洞管理流程通用性框架,攝星科技結(jié)合多年為國家監(jiān)管、行業(yè)監(jiān)管、重要關(guān)基企業(yè)、安全運(yùn)維外包服務(wù)商提供漏洞管理流程建設(shè)服務(wù)經(jīng)驗(yàn),選取有代表性的、可借鑒性強(qiáng)的四個(gè)典型框架進(jìn)行分享。這四個(gè)框架各有其側(cè)重點(diǎn)、適用范圍,用戶可根據(jù)自身實(shí)際需求取其精華,兼容并蓄,形成貼合自身的運(yùn)營流程。
1.《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》(GBT30276-2020)
《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》(GBT30276-2020)適用于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者、網(wǎng)絡(luò)運(yùn)營者、漏洞收錄組織、漏洞應(yīng)急組織等開展的網(wǎng)絡(luò)安全漏洞管理活動(dòng),其適用對(duì)象較廣。
規(guī)定了網(wǎng)絡(luò)安全漏洞管理流程各階段(包括漏洞發(fā)現(xiàn)和報(bào)告、接收、驗(yàn)證、處置、發(fā)布、跟蹤)的管理流程、管理要求以及證實(shí)方法。
所定義的流程和階段如下:
階段 | 工作內(nèi)容 |
漏洞發(fā)現(xiàn)和報(bào)告 | 漏洞發(fā)現(xiàn)者通過人工或自動(dòng)的方法對(duì)漏洞進(jìn)行探測(cè)、分析,證實(shí)漏洞存在的真實(shí)性,并由漏洞報(bào)告者將獲得的漏洞信息向漏洞接收者報(bào)告 |
漏洞驗(yàn)證 | 收到漏洞報(bào)告后,進(jìn)行漏洞信息技術(shù)驗(yàn)證;滿足相應(yīng)要求終止后續(xù)漏洞管理流程 |
漏洞處置 | 對(duì)漏洞進(jìn)行修復(fù),或制定并測(cè)試漏洞修復(fù)或防范措施,可包括升級(jí)版本、補(bǔ)丁、更改配置等方式 |
漏洞發(fā)布 | 通過網(wǎng)站、郵件列表等渠道將漏洞信息向社會(huì)或受影響的用戶發(fā)布 |
漏洞跟蹤 | 漏洞發(fā)布后跟蹤監(jiān)測(cè)漏洞修復(fù)情況、產(chǎn)品或服務(wù)穩(wěn)定性等;視情況對(duì)漏洞修復(fù)或防范措施做進(jìn)一步改進(jìn);滿足相應(yīng)要求終止漏洞管理流程 |
2. CISA網(wǎng)絡(luò)安全事件及漏洞響應(yīng)手冊(cè)(Federal Government Cybersecurity Incident and Vulnerability Response Playbooks)
CISA網(wǎng)絡(luò)安全事件及漏洞響應(yīng)手冊(cè)用以改善和標(biāo)準(zhǔn)化美聯(lián)邦機(jī)構(gòu)識(shí)別、修復(fù)漏洞,以及從網(wǎng)絡(luò)安全事件和漏洞事件中恢復(fù)的方法。
響應(yīng)手冊(cè)定義的漏洞管理流程如下,包括識(shí)別、評(píng)估、修復(fù)和報(bào)告漏洞四個(gè)階段。
CISA認(rèn)為,確定漏洞響應(yīng)優(yōu)先級(jí)并保護(hù)自己不受損害的最直接有效的方法之一就是關(guān)注那些已經(jīng)被積極在野利用的漏洞。為此,專門建立了CISA已知被積極利用漏洞目錄(Known Expolited vulnerabilities calalog)。攝星科技已同步在官網(wǎng)發(fā)布“關(guān)鍵漏洞目錄”。
流程規(guī)范了應(yīng)對(duì)緊急和高優(yōu)先級(jí)漏洞時(shí)應(yīng)遵循的高級(jí)進(jìn)程。它不是現(xiàn)有漏洞管理程序的替代品,而是建立在現(xiàn)有漏洞管理實(shí)踐的基礎(chǔ)上。
階段 | 方法 | 目標(biāo) |
識(shí)別 Identification | 監(jiān)測(cè)威脅源,主動(dòng)識(shí)別在野被積極利用漏洞報(bào)告,包括不限于: CISA資源:CISA/-CERT國家網(wǎng)絡(luò)意識(shí)系統(tǒng)(NCAS)、CISA綁定操作指令(BOD)22-01 外部威脅或漏洞資源,如NIST國家漏洞庫 在FCEB機(jī)構(gòu)之外的在野利用漏洞 內(nèi)部SOC監(jiān)控到的被利用漏洞。捕獲有關(guān)漏洞其他信息,如漏洞嚴(yán)重程度、易受影響軟件版本、IOCs或其它用于確定漏洞是否被利用證據(jù) | |
評(píng)估 Evaluation | 使用利益相關(guān)者特定漏洞分類SSVC確定環(huán)境中是否存在漏洞,以及底層軟件或硬件資產(chǎn)的關(guān)鍵程度 使用現(xiàn)有修補(bǔ)程序和資產(chǎn)管理工具自動(dòng)化漏洞檢測(cè)過程 如存在漏洞,則處理漏洞并確定漏洞是否被利用。如果被利用,立即按照手冊(cè)開始事件響應(yīng) | 在評(píng)估階段結(jié)束時(shí),要了解環(huán)境中每個(gè)系統(tǒng)的狀態(tài): 不受影響。不存在漏洞 易受影響。系統(tǒng)存在漏洞但沒有發(fā)現(xiàn)被利用跡象,修復(fù)工作已經(jīng)開始 受到損害。系統(tǒng)存在漏洞且發(fā)現(xiàn)利用漏洞跡象,已開始對(duì)事件進(jìn)行響應(yīng)和漏洞修復(fù) |
修復(fù) Remediation | 及時(shí)修復(fù)所有被積極利用漏洞。多數(shù)情況下,應(yīng)使用補(bǔ)丁程序。如果補(bǔ)丁不存在、尚未測(cè)試或不能立即應(yīng)用,采取其它緩解措施,包括: 禁用服務(wù) 配置更改 限制準(zhǔn)入 配置防火墻/IPS阻止訪問 增加監(jiān)控監(jiān)測(cè)漏洞利用 隔離易受攻擊系統(tǒng)、應(yīng)用、服務(wù)、配置文件或其他資產(chǎn) 一旦補(bǔ)丁可用并可以安全的應(yīng)用,應(yīng)刪除緩解措施并應(yīng)用補(bǔ)丁 | 當(dāng)系統(tǒng)被修復(fù)時(shí),跟蹤其狀態(tài)。每個(gè)系統(tǒng)都應(yīng)該能夠被描述為以下類別之一: 已修復(fù)。已應(yīng)用修補(bǔ)程序或配置更改,系統(tǒng)不再易受攻擊 已緩解。其他補(bǔ)償性控制已經(jīng)到位,漏洞的風(fēng)險(xiǎn)已經(jīng)降低 易受影響/受到損害。沒有采取任何行動(dòng),系統(tǒng)仍然易受影響或受到損害 |
報(bào)告 Reporting | 共享有關(guān)漏洞如何被利用的信息 | 幫助聯(lián)邦政府的網(wǎng)絡(luò)安全維護(hù)者了解哪些漏洞對(duì)修補(bǔ)程序最關(guān)鍵 幫助其他機(jī)構(gòu)了解漏洞影響,縮短披露和利用漏洞之間的時(shí)間 |
3. OWASP漏洞管理指南(OWASP Vulnerability Management Guide (OVMG) )
OWASP漏洞管理指南的目標(biāo)是通過將復(fù)雜的漏洞管理問題分解為更易于管理的可重復(fù)動(dòng)作(檢測(cè)、報(bào)告和修復(fù))。側(cè)重于在漏洞生命周期中構(gòu)建可重復(fù)的過程。
OVMG實(shí)施時(shí),建議從“小”開始,然后在“生命周期”中逐步細(xì)化每個(gè)任務(wù)和子任務(wù)。使業(yè)務(wù)通過漏洞管理計(jì)劃的實(shí)施而變得更具彈性。
OVMG的管理流程由檢測(cè)(Detection)、報(bào)告(Reporting)、修復(fù)(Remediation)三個(gè)閉環(huán)組成。
每個(gè)閉環(huán)包含四個(gè)主要流程。每個(gè)流程都是一個(gè)包含待辦事項(xiàng)的任務(wù)列表。所有任務(wù)都有“輸入”和“輸出”。
漏洞管理的周期性意味著持續(xù)的流程改進(jìn),單個(gè)流程如何融入其它流程、任務(wù)如何跨三個(gè)閉環(huán)相互關(guān)聯(lián)對(duì)流程建立和改進(jìn)至關(guān)重要。
(1) 檢測(cè)閉環(huán)(Detection Cycle )
檢測(cè)閉環(huán)定義了誰、時(shí)間、地點(diǎn)、原因和方式執(zhí)行漏洞測(cè)試的任務(wù)。
檢測(cè)閉環(huán)包含的流程、目標(biāo)、任務(wù)列表如下:
流程 | 目標(biāo) | 任務(wù)列表 |
定義漏洞檢測(cè)范圍 Scope | 完成范圍任務(wù),能夠向管理層和同事解釋為什么需要進(jìn)行漏洞檢測(cè)及它為業(yè)務(wù)帶來好處,同時(shí)了解漏洞檢測(cè)的邊界 | 了解企業(yè)風(fēng)險(xiǎn) 了解合規(guī)要求 了解技術(shù)限制 區(qū)分主要資產(chǎn)與次要資產(chǎn) 漏洞管理流程嵌入企業(yè)流程 獲得管理層支持 |
優(yōu)化檢測(cè)工具 Tools | 優(yōu)化檢測(cè)工具能夠覆蓋到Scope中定義的資產(chǎn)范圍 | 確定測(cè)試/掃描的類型,如DAST、SAST、IAST等 確定安全檢測(cè)頻率 確保工具更新到最新的漏洞 檢查是否存在漏洞異常 測(cè)試掃描工具覆蓋面完整性 優(yōu)化工具設(shè)置模板 |
執(zhí)行漏洞檢測(cè) Run Tests | 按照計(jì)劃執(zhí)行漏洞檢測(cè) | 掃描公共IP地址 掃描專用子網(wǎng) 掃描/測(cè)試web應(yīng)用程序 掃描/測(cè)試移動(dòng)應(yīng)用 測(cè)試用戶(網(wǎng)絡(luò)釣魚、社會(huì)工程培訓(xùn)) |
確認(rèn)掃描結(jié)果 Confirm Findings | 了解漏洞檢測(cè)結(jié)果;使用收集的數(shù)據(jù)調(diào)整漏洞掃描工具的準(zhǔn)確性 | 測(cè)試結(jié)果是否包含有價(jià)值數(shù)據(jù) 在測(cè)試中了解系統(tǒng)/設(shè)備指紋 確定運(yùn)行的服務(wù) 找出不符合特征漏洞并調(diào)查原因 隨機(jī)選擇漏洞并使用工具或手動(dòng)確認(rèn) |
(2) 報(bào)告閉環(huán)(Reporting Cycle )
報(bào)告閉環(huán)的目標(biāo)是幫助組織以可衡量的方式了解漏洞。側(cè)重于學(xué)習(xí)、分類和創(chuàng)建組織性、有意義的指標(biāo),這些指標(biāo)將成為漏洞管理報(bào)告的基礎(chǔ)。
報(bào)告閉環(huán)包含的流程、目標(biāo)、任務(wù)列表如下:
流程 | 目標(biāo) | 任務(wù)列表 |
資產(chǎn)分組 Asset Groups | 充分了解資產(chǎn)環(huán)境及管理方式,以便資產(chǎn)提供類別和分組管理 | 確定功能資產(chǎn)組 按環(huán)境類型確定資產(chǎn)組 按系統(tǒng)類型確定資產(chǎn)組 根據(jù)CVE編號(hào)或基礎(chǔ)技術(shù)確定組 按漏洞類型確定組 |
度量指標(biāo) Metrics | 為漏洞報(bào)告創(chuàng)建(并隨后修改)度量指標(biāo)。這些指標(biāo)應(yīng)該是一致的,并且對(duì)報(bào)告的受眾(管理層和負(fù)責(zé)修復(fù)工作的團(tuán)隊(duì))來說是有意義的 | 確定脆弱資產(chǎn)的數(shù)量和百分比 根據(jù)嚴(yán)重程度和CVSS確定脆弱資產(chǎn)的數(shù)量和百分比 確定新漏洞的數(shù)量和百分比: -按嚴(yán)重程度 -按功能組 -按環(huán)境類型 -按系統(tǒng)類型 -CVE編號(hào) -按漏洞類型 根據(jù)漏洞的嚴(yán)重程度及百分比,比較和分析老化數(shù)據(jù): -企業(yè)范圍內(nèi) -在所有其他脆弱資產(chǎn)中 -按功能組 -按環(huán)境類型 -按系統(tǒng)類型 -CVE編號(hào) -按漏洞類型 利用對(duì)風(fēng)險(xiǎn)和法規(guī)遵從性至關(guān)重要的KPI,按數(shù)量和百分比繪制趨勢(shì) 按嚴(yán)重程度確定脆弱資產(chǎn)可利用性;指定計(jì)數(shù)、百分比、減少或增加 |
審計(jì)跟蹤 Audit Trail | 為補(bǔ)救工作創(chuàng)建審計(jì)跟蹤。為負(fù)責(zé)漏洞修復(fù)(代碼重寫、配置修復(fù)等)的人員分配工作或培訓(xùn) | 使用工單系統(tǒng) 提供問題摘要 基于工具的報(bào)告輸出 通知/分配/工單給負(fù)責(zé)團(tuán)隊(duì)或個(gè)人 確保管理層/CISO對(duì)情況的了解 |
報(bào)告 Reports | 以簡明易懂的形式總結(jié)安全掃描結(jié)果。與所有需要了解的人分享報(bào)告。保持漏洞報(bào)告的格式和交付一致性 | 保持一致的報(bào)告頻率,并使用它來跟蹤變化 聚合和處理收集的資產(chǎn)和漏洞數(shù)據(jù) 使用CVSS,將獨(dú)特環(huán)境特征應(yīng)用于漏洞分析 全局脆弱性趨勢(shì) 用一句話表述這些趨勢(shì) 在報(bào)告中添加您的建議 將數(shù)據(jù)敏感性分類應(yīng)用于報(bào)告 制作一份簡短的報(bào)告(1-2頁) 將兩個(gè)版本提交給管理者/CISO 為內(nèi)外部審計(jì)創(chuàng)建并維護(hù)自己的漏洞數(shù)據(jù)庫 能夠解釋漏洞檢測(cè)和報(bào)告過程細(xì)節(jié) |
(3) 修復(fù)閉環(huán)(Remediation Cycle)
修復(fù)閉環(huán)的目標(biāo)是減少或消除修復(fù)漏洞的工作,或提供證據(jù)說明特定漏洞不是威脅的原因。側(cè)重于確定修復(fù)工作的優(yōu)先事項(xiàng)和條款,討論和記錄誤報(bào),以及處理異常情況。
修復(fù)閉環(huán)包含的流程、目標(biāo)、任務(wù)列表如下:
流程 | 目標(biāo) | 任務(wù)列表 |
優(yōu)先級(jí)排布 Prioritize | 創(chuàng)建基于數(shù)據(jù)的漏洞優(yōu)先級(jí)論證 | 使用報(bào)告 使用趨勢(shì)分析 使用其它來源的信息,如最新威脅情報(bào) 應(yīng)用其他環(huán)境因素 與利益相關(guān)者溝通 |
漏洞修復(fù) Remediation | 完成漏洞修復(fù)工作,識(shí)別并記錄所有無法補(bǔ)救的漏洞實(shí)例 | 找到負(fù)責(zé)修復(fù)工作的利益相關(guān)者 通過工具和流程傳達(dá)發(fā)現(xiàn)的漏洞 確定修補(bǔ)、重寫代碼、重新培訓(xùn)人員的頻率和范圍 建立專門用于修復(fù)測(cè)試的資產(chǎn) 向利益相關(guān)者報(bào)告測(cè)試結(jié)果 使用工單系統(tǒng)或變更管理系統(tǒng)解決修復(fù)管理問題 分配修復(fù)工作,包括責(zé)任人、利益相關(guān)者,以及需要了解未解決問題的人 利用報(bào)告周期的頻率跟進(jìn)未解決問題 |
識(shí)別誤報(bào) Investigate False Positives(FP) | 建立如何將漏洞評(píng)估為誤報(bào)的基本規(guī)則。逐案審查證據(jù)。定期復(fù)查和糾正誤報(bào)案例。這個(gè)過程應(yīng)該是透明的,不應(yīng)被濫用 | 確保聲明的完整性 構(gòu)建可重復(fù)業(yè)務(wù)流程 記錄所有FP提交 找到能夠同意或提出誤報(bào)肯定的第三方 設(shè)置重新評(píng)估FP的時(shí)間框架 記錄每個(gè)FP并存儲(chǔ)在可審核的存儲(chǔ)庫中 創(chuàng)建適當(dāng)?shù)牟呗?/p> 將此政策傳達(dá)給所有員工 |
漏洞例外 Exceptions | 確保所有不符合項(xiàng)都得到高級(jí)管理層的批準(zhǔn),并記錄在公司范圍的存儲(chǔ)庫中。 漏洞例外還須有一個(gè)到期日期,在此之后應(yīng)進(jìn)行修改。 漏洞例外必須包括防止漏洞利用的補(bǔ)償控制 | 找到一個(gè)執(zhí)行機(jī)構(gòu)能夠批準(zhǔn)網(wǎng)絡(luò)安全例外 建立漏洞例外的基本規(guī)則 定期審查例外情況 建立可接受補(bǔ)償控制 記錄每個(gè)例外情況并將其存儲(chǔ)在公司的審計(jì)系統(tǒng)中 創(chuàng)建適當(dāng)?shù)牟呗?/p> 將此政策傳達(dá)給所有員工 每次漏洞例外請(qǐng)求都需批準(zhǔn) |
4. SANS漏洞管理成熟度模型(Vulnerability Management Maturity Model)
敏捷開發(fā)、DevOps、云技術(shù)和虛擬化使組織能夠以極快的速度構(gòu)建和部署系統(tǒng)。同時(shí),陳舊繁瑣的安全性和合規(guī)性測(cè)試方法無法跟上新技術(shù)發(fā)展。因此,漏洞管理人員需要了解并使用開發(fā)人員和工程師正在使用的相同工具和技術(shù),能夠快速且經(jīng)常性的生成測(cè)試結(jié)果,從而不會(huì)影響整個(gè)組織業(yè)務(wù)發(fā)展的速度。
大多數(shù)大型組織面臨的突出問題是漏洞數(shù)量巨大,所有組織都在努力應(yīng)對(duì)基礎(chǔ)架構(gòu)和應(yīng)用程序中層出不窮的新漏洞。當(dāng)以越來越快的速度向內(nèi)部和外部客戶提供系統(tǒng)、應(yīng)用程序和功能時(shí),安全性也應(yīng)得到切實(shí)保障。
SANS漏洞管理成熟度模型提供了流程、成熟度級(jí)別劃分,資產(chǎn)、漏洞、威脅的上下文信息以及關(guān)鍵度量指標(biāo)(Key Metrics)。可參考此模型來完善漏洞管理程序。
SANS漏洞管理成熟度模型將生命周期管理流程分為準(zhǔn)備(Prepare)、識(shí)別(Identify)、分析(Analyze)、交流(Communicate)、處置(Treat)五個(gè)環(huán)節(jié)。每個(gè)環(huán)節(jié)又劃分為Initial(Level 1)、Managed(Level 2)、Defined(Level 3)、Quantitatively Managed(Level 4)、Optimizing(Level 5)五個(gè)成熟度級(jí)別。
