漏洞管理工作是企业安全建设必不可少的一环,在风险管理工作中,漏洞管理能够防患于未然,企业对漏洞管理有着广泛的基础建设和实践经验。但随着攻防技术的发展,传统漏洞管理的安全技术和管理过程,开始面对越来越多的挑战。怎样提高企业的漏洞管理水平成了安全管理人员需要去思考的问题。
从内部来看,已经制定了漏洞管理制度,有专人负责漏洞扫描和修补,但出现紧急漏洞还是手忙脚乱,仍然是疲于应对不断发现的漏洞,在接受监管检查的时候总是有漏洞被发现。
从外部来看,漏洞已经成为当前IT领域的热门话题之一。首先,从攻防的不对等角度来说,攻击者对漏洞的利用早已形成了产业化,攻击者利用漏洞的时间窗远远小于防御者完成漏洞修复的时间窗。其次,随着信息技术的发展,大量应用的推广必然会带来大量的漏洞爆发。
怎样提高企业的漏洞管理水平成了安全管理人员需要去思考的问题,而漏洞管理中漏洞修复工作是尤其重要的。
一、漏洞修复现状
首先了解一下影响漏洞修复的几个主要原因:
企业随着业务的增长,资产数量也在疯狂的增长,外部漏洞披露逐年增多,导致企业漏洞数量也随之增多,漏洞修复速度远远达不到漏洞产生的速度,就会导致漏洞逐年积压,形成企业漏洞管理顽疾。
企业内部建立漏洞管理机制,但是漏洞管理很重要的一部分是流程管理环节,其中会涉及到企业内部众多部门协调工作,针对漏洞管理人员的职责不明确,缺乏领导人员监督执行。导致企业漏洞管理沦为纸上谈兵。
企业内部漏洞修复工作缺乏量化指标,导致漏洞修复成果不清晰,没有具体量化指标来约束负责漏洞管理工作的人员,也没有办法来奖励负责漏洞管理工作的人员,导致相关人员工作积极性下降。
漏洞修复工作涉及资产范围广,某些漏洞修复工作对技术要求高,运维人员修复难度大,需要更有效、更全面和更权威的漏洞解决方案来指导运维人员进行漏洞修复,依靠传统的技术很难完全覆盖所有的漏洞修复解决方案。
二、提高漏洞修复工作的方法
漏洞修复工作作为漏洞管理的核心,依靠传统的漏洞扫描设备或解决方案已不能满足当下漏洞修复遇见的问题,需要企业利用新的技术手段搭建适合自身漏洞管理现状的漏洞管理平台来实现漏洞管理工作,而在漏洞平台搭建中对于漏洞修复方面的建设可以考虑以下几个方向。
1. 漏洞修复优先级
在漏洞修复工作中引入漏洞修复优先级的概念,而漏洞修复优先级的参考因子可以有资产重要性、漏洞POC、资产防御情况、漏洞热度等,同时利用绝对条件的因数对漏洞进行过滤,绝对条件即为符合这类条件的漏洞如果按优先级评分来说只会有0或者100的两个极端分值,对于运维人员来说可以根据分值很好的去判断是否修复此类漏洞,一类是必须修复的情况:如面向互联网的重要资产发现可利用高危漏洞;一类是无法修复的情况:如内部进行物理隔离的核心业务系统。依据漏洞优先级评分来进行漏洞优先修复工作时,还需要对较终的优先级评分进行人工的修正,保证得出的优先级是具有参考价值的。漏洞修复优先级的概念是为了解决企业在面对大量漏洞的情况下,如何做到更好的利用企业资源优先处理紧急程度更高的漏洞。
2. 漏洞修复流程优化
把漏洞修复流程的每个环节与响应人员进行绑定,不仅仅只限于不同运维人员或安全人员,同时还要要求相应的领导决策人员加入,提高漏洞修复响应的效率,同时监督漏洞修复流程的进行。
漏洞修复流程必须严格明确:
(1) 漏洞发现阶段由企业安全人员进行,然后把发现的漏洞转送至相应资产运维人员;
(2) 漏洞处理阶段由运维人员进行,针对漏洞做出相应操作;
接受风险是运维人员根据实际情况进行判断,如业务影响情况、资产重要性等,运维人员可以手工把漏洞状态在待修复和接受风险之间进行转换。
单次忽略即为本次扫描忽略这个漏洞,但下次扫描还会扫出此漏洞,永久忽略即为以后永远忽略这个漏洞,除非人工进行漏洞转态转移到发现里面。
(3) 漏洞验证阶段为安全人员和运维人员相互配合;
当运维人员把待修复漏洞转换到已修复转态,安全人员必须要对漏洞修复情况进行复查,如果再次扫描发现漏洞依然存在,则归为修复失败,对于修复失败的漏洞要重新转换到漏洞发现状态。
如果再次扫描漏洞不存在,则归为已验证状态,同时如果后期多次扫描过程中因为资产本身变化导致漏洞复现,漏洞状态转换为再次发现,对于再次发现的漏洞要及时转至待修复状态。
(4) 在漏洞发现到漏洞修复的流程转换过程中,必须有领导决策人员知晓,以达到监督漏洞管理流程正常有效运转的目的;
(5) 同时定期输出漏洞修复情况报告给到领导决策人员,使其了解企业漏洞管理现状。
(6) 针对漏洞修复的各个转态转换进行追踪审计,记录修复时间、处理人员和处理反馈等。
3. 漏洞修复量化
在漏洞修复工作中把企业内部各部门或子公司做为一个漏洞修复统计对象,通过定期对修复成果进行统计,如修复漏洞数、修复漏洞耗时、修复漏洞成功率等,通过漏洞管理平台做统一展示、企业内部定期通报甚至或者引入绩效体系,利用漏洞修复量化的这样理念来提高漏洞修复人员的积极性,同时利用漏洞修复量化的方式使得企业管理者能清楚的了解当前漏洞管理状况,为漏洞管理的决策工作提供更好的依据。
4. 漏洞修复知识库
漏洞修复知识库的建立,一方面是为运维人员提供一个全面、权威和有效的漏洞修复指导方案库;另一方面也是保证漏洞修复工作能更有效进行,减少漏洞修复的失败率。漏洞知识库建立可以考虑三个方面入手,一是参考漏洞扫描设备的标准解决方案作为基础;二是利用多方威胁情报数据,录入更多的解决方案作为参考;三是人工定期整理已验证过的漏洞修复方案作为权威标准方案。
第二十八届CIO班招生
法国布雷斯特商学院MBA班招生 法国布雷斯特商学院硕士班招生
