如何做好漏洞管理的漏洞修復工作
漏洞管理工作是企業安全建設必不可少的一環,在風險管理工作中,漏洞管理能夠防患于未然,企業對漏洞管理有著廣泛的基礎建設和實踐經驗。但隨著攻防技術的發展,傳統漏洞管理的安全技術和管理過程,開始面對越來越多的挑戰。怎樣提高企業的漏洞管理水平成了安全管理人員需要去思考的問題。
從內部來看,已經制定了漏洞管理制度,有專人負責漏洞掃描和修補,但出現緊急漏洞還是手忙腳亂,仍然是疲于應對不斷發現的漏洞,在接受監管檢查的時候總是有漏洞被發現。
從外部來看,漏洞已經成為當前IT領域的熱門話題之一。首先,從攻防的不對等角度來說,攻擊者對漏洞的利用早已形成了產業化,攻擊者利用漏洞的時間窗遠遠小于防御者完成漏洞修復的時間窗。其次,隨著信息技術的發展,大量應用的推廣必然會帶來大量的漏洞爆發。
怎樣提高企業的漏洞管理水平成了安全管理人員需要去思考的問題,而漏洞管理中漏洞修復工作是尤其重要的。
一、漏洞修復現狀
首先了解一下影響漏洞修復的幾個主要原因:
- 企業隨著業務的增長,資產數量也在瘋狂的增長,外部漏洞披露逐年增多,導致企業漏洞數量也隨之增多,漏洞修復速度遠遠達不到漏洞產生的速度,就會導致漏洞逐年積壓,形成企業漏洞管理頑疾。
- 企業內部建立漏洞管理機制,但是漏洞管理很重要的一部分是流程管理環節,其中會涉及到企業內部眾多部門協調工作,針對漏洞管理人員的職責不明確,缺乏領導人員監督執行。導致企業漏洞管理淪為紙上談兵。
- 企業內部漏洞修復工作缺乏量化指標,導致漏洞修復成果不清晰,沒有具體量化指標來約束負責漏洞管理工作的人員,也沒有辦法來獎勵負責漏洞管理工作的人員,導致相關人員工作積極性下降。
- 漏洞修復工作涉及資產范圍廣,某些漏洞修復工作對技術要求高,運維人員修復難度大,需要更有效、更全面和更權威的漏洞解決方案來指導運維人員進行漏洞修復,依靠傳統的技術很難完全覆蓋所有的漏洞修復解決方案。
二、提高漏洞修復工作的方法
漏洞修復工作作為漏洞管理的核心,依靠傳統的漏洞掃描設備或解決方案已不能滿足當下漏洞修復遇見的問題,需要企業利用新的技術手段搭建適合自身漏洞管理現狀的漏洞管理平臺來實現漏洞管理工作,而在漏洞平臺搭建中對于漏洞修復方面的建設可以考慮以下幾個方向。
1. 漏洞修復優先級
在漏洞修復工作中引入漏洞修復優先級的概念,而漏洞修復優先級的參考因子可以有資產重要性、漏洞POC、資產防御情況、漏洞熱度等,同時利用絕對條件的因數對漏洞進行過濾,絕對條件即為符合這類條件的漏洞如果按優先級評分來說只會有0或者100的兩個極端分值,對于運維人員來說可以根據分值很好的去判斷是否修復此類漏洞,一類是必須修復的情況:如面向互聯網的重要資產發現可利用高危漏洞;一類是無法修復的情況:如內部進行物理隔離的核心業務系統。依據漏洞優先級評分來進行漏洞優先修復工作時,還需要對最終的優先級評分進行人工的修正,保證得出的優先級是具有參考價值的。漏洞修復優先級的概念是為了解決企業在面對大量漏洞的情況下,如何做到更好的利用企業資源優先處理緊急程度更高的漏洞。
2. 漏洞修復流程優化
把漏洞修復流程的每個環節與響應人員進行綁定,不僅僅只限于不同運維人員或安全人員,同時還要要求相應的領導決策人員加入,提高漏洞修復響應的效率,同時監督漏洞修復流程的進行。
漏洞修復流程必須嚴格明確:
(1) 漏洞發現階段由企業安全人員進行,然后把發現的漏洞轉送至相應資產運維人員;
(2) 漏洞處理階段由運維人員進行,針對漏洞做出相應操作;
- 接受風險是運維人員根據實際情況進行判斷,如業務影響情況、資產重要性等,運維人員可以手工把漏洞狀態在待修復和接受風險之間進行轉換。
- 單次忽略即為本次掃描忽略這個漏洞,但下次掃描還會掃出此漏洞,永久忽略即為以后永遠忽略這個漏洞,除非人工進行漏洞轉態轉移到發現里面。
(3) 漏洞驗證階段為安全人員和運維人員相互配合;
- 當運維人員把待修復漏洞轉換到已修復轉態,安全人員必須要對漏洞修復情況進行復查,如果再次掃描發現漏洞依然存在,則歸為修復失敗,對于修復失敗的漏洞要重新轉換到漏洞發現狀態。
- 如果再次掃描漏洞不存在,則歸為已驗證狀態,同時如果后期多次掃描過程中因為資產本身變化導致漏洞復現,漏洞狀態轉換為再次發現,對于再次發現的漏洞要及時轉至待修復狀態。
(4) 在漏洞發現到漏洞修復的流程轉換過程中,必須有領導決策人員知曉,以達到監督漏洞管理流程正常有效運轉的目的;
(5) 同時定期輸出漏洞修復情況報告給到領導決策人員,使其了解企業漏洞管理現狀。
(6) 針對漏洞修復的各個轉態轉換進行追蹤審計,記錄修復時間、處理人員和處理反饋等。
3. 漏洞修復量化
在漏洞修復工作中把企業內部各部門或子公司做為一個漏洞修復統計對象,通過定期對修復成果進行統計,如修復漏洞數、修復漏洞耗時、修復漏洞成功率等,通過漏洞管理平臺做統一展示、企業內部定期通報甚至或者引入績效體系,利用漏洞修復量化的這樣理念來提高漏洞修復人員的積極性,同時利用漏洞修復量化的方式使得企業管理者能清楚的了解當前漏洞管理狀況,為漏洞管理的決策工作提供更好的依據。
4. 漏洞修復知識庫
漏洞修復知識庫的建立,一方面是為運維人員提供一個全面、權威和有效的漏洞修復指導方案庫;另一方面也是保證漏洞修復工作能更有效進行,減少漏洞修復的失敗率。漏洞知識庫建立可以考慮三個方面入手,一是參考漏洞掃描設備的標準解決方案作為基礎;二是利用多方威脅情報數據,錄入更多的解決方案作為參考;三是人工定期整理已驗證過的漏洞修復方案作為權威標準方案。
【本文是51CTO專欄作者“綠盟科技博客”的原創稿件,轉載請通過51CTO聯系原作者獲取授權】
