一个企业的漏洞管理计划是最好的,如果它建立在满足所有利益相关者信息需求的既定基本目标之上,如果它的输出可以与公司目标挂钩,并且如果它减少了整体以充分发挥其潜力。这种漏洞管理技术能够检测风险,但需要人员和流程的基础来确保项目成功。漏洞管理项目分为四个阶段:1.确定资产重要性、资产所有者、扫描频率,并制定修复时间表;2.发现网络上的资产并建立库存;3.识别已发现资产中的漏洞;4.报告并修复已识别的漏洞。第一阶段侧重于建立可衡量、可重复的流程。第二阶段执行第一阶段四个优先事项的过程,重点是持续改进。下面我们详细分析这几个阶段。第1阶段:漏洞扫描过程此阶段的第一步是确定企业资产的重要性。要构建有效的风险管理程序,您必须首先确定企业中的哪些资产需要保护。这适用于企业网络上的计算系统、存储设备、网络、数据类型和第三方系统。资产应根据其对业务的真正固有风险进行分类和排序。资产的固有风险评分应考虑与更高级别资产的物理或逻辑连接、用户访问和系统可用性等方面。例如,隔离区中对帐户数据库具有逻辑访问权限的资产比实验室中的资产更为重要。生产环境中的资产比测试环境中的资产具有更高的重要性。可通过Internet路由的Web服务器比内部文件服务器更为重要。然而,更不重要的资产的恢复也不容忽视。攻击者可以使用这些经常被忽视的资产来获得访问权限,然后在网络中漫游,从而危及多个系统,直至包含敏感数据的系统。补救措施应始终基于整体风险相关性。第二步是确定每个系统的所有者。系统所有者全权负责该资产、其相关风险以及被黑客攻击时的责任。此步骤对于漏洞管理计划的成功至关重要,因为它推动了企业内的问责制和补救工作。如果没有人承担风险,就没有人会推动降低该风险。第三步是确定扫描频率。互联网安全中心在其20大关键安全控制措施中建议,组织应该“每周或更频繁地对其网络上的所有系统执行自动漏洞扫描”。Web安全供应商Tripwire每周发布其漏洞签名(ASPL)。频繁扫描漏洞使资产所有者能够跟踪修复工作的进度、发现新风险并根据新收集的情报重新安排漏洞修复。最初宣布漏洞时,漏洞分数可能很低,因为没有已知的漏洞利用。一旦漏洞存在一段时间,就会出现自动攻击工具包,从而增加该漏洞的风险。由于新安装的软件或补丁回滚,易受攻击的系统可能容易受到一个漏洞或一组漏洞的攻击。许多因素会影响资产变化的风险状况。频繁扫描可确保资产所有者及时了解新信息。底线是,漏洞扫描的频率应不少于每月一次。建立流程的第四步是建立并记录补救时间表和阈值。可以自动利用的漏洞,给予攻击者特权控制,应该立即修复。提供更难利用的权限控制,或目前仅理论上可利用的漏洞,应在30天内修复。不太严重的漏洞应在90天内修复。如果系统所有者无法在适当的时间范围内修复漏洞,则应适用修复异常流程。该过程应记录系统所有者对风险的理解和接受程度,并制定可接受的行动计划以在特定日期之前修复漏洞。有效期是漏洞例外的必要元素。第二阶段:资产发现和清点资产发现和清点在关键安全控制中排名第一和第二。它是任何安全计划的基础——信息安全或其他,因为防御者无法保护他们不知道的东西。第一个关键的安全控制是拥有网络上所有授权和未授权设备的清单。二级密钥安全控制是在公司网络的资产上安装授权和未授权软件的清单。这两个关键的安全控制是相辅相成的,因为攻击者总是试图找到容易被利用的系统来访问公司网络。一旦进入网络,攻击者就可以利用他们对系统的控制来攻击其他系统并进一步渗透网络。确保信息安全团队了解网络上的内容将使他们能够更好地保护这些系统,并为这些系统的所有者提供指导以降低这些资产的风险。用户在不通知信息安全团队的情况下部署系统的情况并不少见,从测试服务器到为方便起见而放置在员工办公桌下的无线路由器。如果没有适当的资产发现和网络访问控制,此类设备可能会为攻击者打开进入内部网络的大门。在执行漏洞扫描之前,执行范围内的资产发现并确定哪些应用程序正在这些已发现的资产上运行。第三阶段:漏洞检测一旦发现网络上的所有资产,下一步就是识别每个资产的漏洞风险状态。可以通过未经身份验证或经过身份验证的扫描发现漏洞,或者可以部署代理来确定漏洞状态。攻击者通常将系统状态视为未经身份验证的扫描。因此,没有凭据的扫描将提供与原始攻击者所见类似的系统漏洞状态视图。未经身份验证的扫描有助于识别一些非常高风险的漏洞,攻击者可以远程检测和利用这些漏洞来深入访问系统。但是,用户总是可以通过下载电子邮件附件或单击未通过未经身份验证的扫描检测到的恶意链接来利用这些漏洞。更全面的漏洞扫描建议是AuthenticatedScan或DeploymentAgent。这种方法可以提高企业漏洞风险检测的准确性。经过验证的扫描可识别特定于在资产发现和清单构建阶段检测到的操作系统和已安装应用程序的漏洞。本地安装的应用程序中的漏洞只能通过此方法检测。经过身份验证的漏洞扫描还可以识别攻击者可能从外部未经身份验证的漏洞扫描中看到的那些漏洞。许多漏洞扫描器提供的漏洞状态结果仅检测补丁级别或应用程序版本。漏洞扫描工具应该提供更详细的分析,因为它们的漏洞签名可以识别许多因素。示例包括删除易受攻击的库、注册表项,以及(但不限于)应用程序修复是否需要重新启动系统。阶段4:报告和修复漏洞扫描完成后,每个漏洞将根据三个因素通过指数算法给出漏洞评分:1.利用漏洞所需的技术;2、漏洞利用成功可获得的权限;3.脆弱年龄。漏洞越容易被利用,获得的权限越高,风险评分就越高。此外,风险评分随着漏洞年龄的增加而增加。要考虑的第一个指标是企业的总体基线平均风险评分。最成熟的组织的平均风险评分甚至更低,并且专注于解决风险评分超过1,000的每个漏洞。下一个要关注的指标是平均资产所有者风险评分。资产所有权在第一阶段确定,因此每个所有者都应该能够看到其资产的基线风险评分。与公司的总体目标类似,每位所有者应从每年平均风险评分降低10%至25%开始,直到评分低于公司可接受的阈值。系统所有者应该能够看到彼此的评级并进行比较以了解他们的立场。风险评分较低的系统所有者应该得到奖励。为了推动修复,系统所有者需要经验漏洞数据来描述应该修复哪些漏洞,以及如何执行修复的说明。报告应显示最易受攻击的主机、风险评分相对较高的漏洞和/或特定高风险应用程序的报告。这允许系统所有者确定补救工作的优先级,优先考虑那些可将业务风险降至最低的漏洞。在执行新的漏洞扫描时,可以将新指标与之前扫描的指标进行比较,显示风险趋势分析和修复进度。一些可用于跟踪补救措施的指标如下:所有者每项资产的平均漏洞得分和总体平均漏洞得分是多少?所有者修复基础设施漏洞和整体修复的平均时间是多少?所有者修复应用程序漏洞平均需要多长时间?修复和整体修复的平均时间是多少?最近未接受漏洞扫描的资产百分比是多少?系统上暴露了多少提供特权访问的远程可利用漏洞?在项目建设初期,企业的漏洞平均得分较高,修复周期很长的情况并不少见。关键是要逐月、逐季、逐年推进。随着团队越来越熟悉流程并了解攻击者带来的风险,企业风险评分和漏洞修复时间应该会逐渐减少。脆弱性和风险管理是一个持续的过程。最成功的计划具有持续适应性,并与企业网络安全计划的风险降低目标保持一致。应经常审查流程,员工应及时了解信息安全方面的新威胁和趋势。确保人员、流程和技术的持续发展将确保企业漏洞和风险管理计划的成功。
