组织,尤其是大型企业,通常在安全研究人员、执法机构或业务合作伙伴等外部各方提醒他们之前,并没有意识到系统被破坏或被破坏的危险。随着攻击方法的激增、开源组件的使用增加以及云服务的大量采用,许多企业面临的攻击面也在不断扩大。令人尴尬的是,企业自身的安全团队越来越难以发现这些漏洞。例如,入侵者攻破了SolarWinds的系统,不断通过该公司的软件传播恶意软件,而SolarWinds却浑然不觉,直到安全厂商FireEye将相关漏洞通知SolarWinds,SolarWinds才如梦初醒。SolarWinds案例只是许多公司漏洞数月未修复的例子之一,因为公司的内部安全团队没有发现它们。因此,近年来,接收和响应外部机构提供的安全情报,无论是漏洞通知还是新的重大威胁,对企业来说变得越来越重要。负责为Coalfire高管提供网络战略建议的JohnHellickson说:“任何提供网络产品或服务的公司都应该建立一套接收和响应机制,以便外部机构可以通知他们其产品或服务可能受到的影响。潜在问题。”以下是公司有效构建此能力的六个技巧:1.开发详细的漏洞报告系统,市场研究公司IDC安全研究副总裁PeteLindstrom说。存在安全或隐私问题的外部机构明确告知公司漏洞报告系统,明确公司希望外部机构以负责任的态度报告漏洞,并提供电子邮件地址、电话号码和其他外部机构可以通知他们安全或隐私问题的方式。企业还应对外阐明他们如何处理、调查和解决这些报告或信息,并让第三方机构了解企业审查和解决问题的速度和时间,以便他们知道他们提供的信息没有被忽视。此外,企业应该也向第三方机构明确自己的政策,如果举报情况属实,企业将路他们。如果情况不属实,则企业还必须明确传达他们不会因其提供的情况而获得奖励。“管理第三方期望对于企业的成功和声誉至关重要,”Lindstrom说。“因此,对于企业而言,当第三方向企业提出安全或隐私问题时,准确了解第三方的期望非常重要。S&PGlobalMarketIntelligence信息安全研究主管ScottCrawford建议公司利用ISO/IEC30111标准中的指南来指导他们的漏洞处理工作。克劳福德指出,这些标准可以为如何制定处置规则提供指导。2、制定内部漏洞管理计划Lindstrom表示,无论企业是否想从外部获取安全情报,都应该在内部建立应用安全和漏洞管理计划。对于企业来说,部署最佳实践(如定期漏洞扫描、安全补丁等)非常重要,可以有效降低风险,抢在外部机构之前发现各种漏洞。他说:“企业应该积极部署最佳实践作为自身安全计划的重要组成部分。在考虑与外部研究人员合作之前,先在内部建立协同效应。Hellickson还指出:“企业针对不同的示例进行测试也是一个很好的实践场景,以便可以识别某些问题并涉及执行团队和法律顾问。桌面演练也是安全意识教育的重要手段。3、在事件管理流程中建立外部安全通知的响应机制,确保公司的事件管理团队有对外部安全通知(漏洞猎手、业务合作伙伴、执法机构或客户)的响应机制。Hellickson说:“企业事件处理团队有机制来响应来自内部安全工具、计算系统、网络传感器等的警报。与事件团队一样,组织需要开发机制来调查和响应外部安全通知。所有事件处理和响应机制应该有一个明确的流程,用于对情报来源进行优先级排序、审查和分类,直到问题得到解决。根据Hellickson的说法,该机制还应该有一个内置的升级程序,并明确团队成员在此类过程中的角色和责任考虑到网络攻击的多样性,企业应制定明确的事件处理和响应计划,并对事件进行响应。对接收信息的每个步骤进行详细和适当的分类。Pathlock董事长KevinDunne指出,事件管理如果有需要响应生产代码中的漏洞。他“如果不解决这些漏洞,它们很快就会在黑市上出售。如果修复不及时,那么这些漏洞可能会被不法分子利用。”4、准备拉其他部门的人。用于接收外部安全通知的电子邮件地址和电话号码必须归IT或安全部门所有。两个部门都必须随时准备调查和解决问题。一个可以在需要时从组织的其他部分快速引入员工的计划也很重要。Lindstrom指出,这是因为在与外部安全研究人员或漏洞猎手合作时,没有人可以预测事件将如何发展。例如,外部研究人员可能希望通过报告漏洞获得奖励,但没有明确的规则来处理此类漏洞报告。在这种情况下,安全团队可能需要法律部门的人与外部研究人员进行谈判。Lindstrom说:“漏洞报告处理不当会损害企业的声誉和品牌。让通信和营销团队的成员参与进来可能会有意想不到的好处。在漏洞报告处理方面存在很多变数。整个事情的处理5.开发漏洞托管协作/漏洞赏金计划具有重要公众形象的大型企业和机构应考虑与HackerOne和BugCrowd等漏洞披露机构签订合同。此类计划为外部各方提供了一种机制.在这种机制下,外部人员可以负责任地向公司报告他们发现的漏洞或隐私泄露事件。S&PGlobalIntelligence的Crawford指出,公司可以通过漏洞报告程序将整个漏洞发现工作外包出去。虽然这些程序存在,但组织仍然需要o具有良好的内部事件响应能力,因为它们最初可以帮助组织接收、响应外部漏洞研究人员提供的信息并与之交流。此外,Crawford指出,这些程序允许第三方研究人员和漏洞猎手计划查找企业应用程序和服务中的漏洞,从而最大限度地降低企业面临的风险。邓恩说:“今天,许多企业已经向公众宣布了他们自己的漏洞赏金或漏洞发现计划,以帮助从独立的第三方研究人员那里征集漏洞信息。”通常,拥有一项或多项面向消费者的服务的公司往往更容易征求漏洞信息。像酒店、零售、旅游和消费金融等行业往往具有非常大的吸引力。同时,Dunne还指出:“如果公司定期收到来自第三方研究人员的未经请求的漏洞信息,但没有建立相应的确认机制,那么他们现在应该考虑建立这个机制。“即使公司不为已识别的漏洞提供奖励,他们也最好制定一个计划来响应和确认报告的漏洞,并让研究人员和客户了解补救计划,”他说。如果通知了公司,公司却无动于衷,那么这对公司是极其不利的。不确认所报告的漏洞信息等同于承认公司不重视安全问题,不重视客户数据。6.收集威胁情报时要问的一些问题根据Dunne的说法,与独立研究人员和漏洞猎人合作获取漏洞信息和威胁情报的组织应该仔细考虑几个关键问题。例如,组织需要决定是让所有公司漏洞发现程序都为人所知,还是仅对特定研究人员可用。组织必须确定他们最感兴趣的安全或隐私问题类型。组织需要提前计划以测试报告的安全问题。此外,企业还必须确定是在生产环境中进行测试,还是在独立的模拟生产环境中进行测试。此外,企业还必须事先明确是否愿意为漏洞信息报告者提供奖励,奖励金额是固定的还是根据问题的严重程度进行调整。即这些赏金是否高于这些漏洞在黑市上的售价。
