近日,《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》的出臺(tái)引起了業(yè)界的熱議,《規(guī)定》對(duì)網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為進(jìn)行規(guī)范,以防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
那么,針對(duì)漏洞管理,企業(yè)應(yīng)當(dāng)如何做好漏洞及安全風(fēng)險(xiǎn)評(píng)估工作呢?
很多企業(yè)直到成為網(wǎng)絡(luò)攻擊的受害者,方知網(wǎng)絡(luò)安全的重要性,但已為時(shí)已晚,危害已經(jīng)產(chǎn)生。
那么在此之前,企業(yè)能夠做哪些工作才能避免此類(lèi)安全問(wèn)題的再次發(fā)生?
當(dāng)然,企業(yè)能夠做的工作有很多,其中針對(duì)各類(lèi)設(shè)備的漏洞管理,評(píng)估設(shè)備的安全狀況是保護(hù)企業(yè)數(shù)據(jù)和網(wǎng)絡(luò)安全的重要部分。
漏洞管理有了制度約束
近日,為了規(guī)范網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為,防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn),工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,對(duì)在我國(guó)的網(wǎng)絡(luò)產(chǎn)品(含硬件、軟件)提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者,以及從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織或者個(gè)人進(jìn)行了制度約束。
《規(guī)定》自2021年9月1日起施行?!兑?guī)定》的發(fā)布在網(wǎng)絡(luò)安全界引起了廣泛關(guān)注和熱議,相關(guān)專家表示《規(guī)定》對(duì)于維護(hù)國(guó)家網(wǎng)絡(luò)安全,保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行,具有重大意義。
奇安信集團(tuán)副總裁、補(bǔ)天漏洞響應(yīng)平臺(tái)主任張卓認(rèn)為,《規(guī)定》釋放了一個(gè)重要信號(hào):我國(guó)將首次以產(chǎn)品視角來(lái)管理漏洞,通過(guò)對(duì)網(wǎng)絡(luò)產(chǎn)品漏洞的收集、研判、追蹤、溯源,立足于供應(yīng)鏈全鏈條,對(duì)網(wǎng)絡(luò)產(chǎn)品進(jìn)行全周期的漏洞風(fēng)險(xiǎn)跟蹤。
廠商和運(yùn)營(yíng)者不能隱瞞漏洞、拒絕漏洞、否認(rèn)漏洞,必須要積極承認(rèn)、積極通報(bào)、積極報(bào)告、積極修復(fù)和處理、積極通知生態(tài)環(huán)境。
廠商要積極開(kāi)通接受漏洞信息的渠道、留存信息、確保及時(shí)修復(fù)、及時(shí)評(píng)估通知上下游、及時(shí)向官方通報(bào)、及時(shí)升級(jí)通報(bào)技術(shù)問(wèn)題等。
網(wǎng)絡(luò)產(chǎn)品安全漏洞管理有了制度的規(guī)范,不管是網(wǎng)絡(luò)產(chǎn)品的提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者,或是從事網(wǎng)絡(luò)產(chǎn)品安全漏洞活動(dòng)的組織或者個(gè)人,對(duì)于其他企業(yè)來(lái)說(shuō),針對(duì)漏洞的管理,做好漏洞評(píng)估,也是防范安全風(fēng)險(xiǎn)的重要手段。
針對(duì)漏洞評(píng)估
企業(yè)能做什么?
對(duì)于企業(yè)而言,及時(shí)發(fā)現(xiàn)自身設(shè)備及網(wǎng)絡(luò)的安全漏洞,是進(jìn)行安全防護(hù)的重要前提。
設(shè)備及系統(tǒng)日志、操作更改和攻擊報(bào)告數(shù)據(jù)等信息通常能夠顯示出安全威脅的蛛絲馬跡,同時(shí)也能夠?yàn)槁┒垂芾砗托迯?fù)提供一些線索。
當(dāng)然,與其被動(dòng)響應(yīng),不如尋找更為主動(dòng)的方法。比如定期對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)進(jìn)行漏洞評(píng)估,以獲取有關(guān)潛在的問(wèn)題、嚴(yán)重程度,以及需要采取的措施。
但需要悉知,有些工作并不只是企業(yè)自己的事情,還涉及其他上下游供應(yīng)商或合作伙伴等,因此在進(jìn)行一些安全操作或滲透測(cè)試工作之前,可能會(huì)產(chǎn)生關(guān)于財(cái)務(wù)、合規(guī)等方面的影響,需要與企業(yè)的各個(gè)利益相關(guān)者進(jìn)行協(xié)商。
以下措施或許能夠幫助到進(jìn)行漏洞評(píng)估的企業(yè)。
1.與利益相關(guān)者溝通
在進(jìn)行漏洞評(píng)估時(shí),很多人認(rèn)為掃描過(guò)程是其中最重要的部分,但有時(shí)并非如此。
與利益相關(guān)者進(jìn)行及時(shí)有效的溝通協(xié)商也是關(guān)鍵。利益相關(guān)者不僅包括上下游供應(yīng)鏈及合作伙伴,還包括企業(yè)內(nèi)部諸如管理者、IT部門(mén)成員,甚至是人力資源部門(mén)等。
2.確定安全評(píng)估的范圍和規(guī)模
在確定了利益相關(guān)者之后,所有成員必須通過(guò)協(xié)作確定安全評(píng)估的范圍和規(guī)模,包括設(shè)備、網(wǎng)絡(luò)、服務(wù)或其他。
此外,在漏洞掃描時(shí),需要確定掃描的內(nèi)容、時(shí)間和方式,包括有關(guān)何時(shí)應(yīng)進(jìn)行掃描的信息以及要排除的資產(chǎn),因?yàn)檫@些評(píng)估工作有可能會(huì)影響到其他網(wǎng)絡(luò)和資源的正常使用,應(yīng)盡量減少負(fù)面影響,并保持業(yè)務(wù)連續(xù)性。
3.收集目標(biāo)信息
在規(guī)則建立和范圍確定后,確定滲透測(cè)試類(lèi)型——白盒、灰盒或黑盒測(cè)試。
如果還沒(méi)有得到任何安全信息,不妨從信息收集階段開(kāi)始,使用專業(yè)安全工具對(duì)運(yùn)行的設(shè)備、網(wǎng)絡(luò)和端口執(zhí)行掃描,繪制測(cè)試環(huán)境的圖景,以深入了解目標(biāo)設(shè)備上運(yùn)行的應(yīng)用和服務(wù)。
4.進(jìn)行評(píng)估
針對(duì)漏洞評(píng)估,使用什么工具,如何配置它們以及如何執(zhí)行評(píng)估過(guò)程因人而異。因此,根據(jù)規(guī)則來(lái)配置工具非常重要。
此外,還應(yīng)當(dāng)避免因主動(dòng)配置掃描操作可能對(duì)系統(tǒng)造成的損害。
5.關(guān)聯(lián)數(shù)據(jù)
各種安全工具種類(lèi)繁多,產(chǎn)生的安全數(shù)據(jù)也浩如煙海,如果不能將這些數(shù)據(jù)相關(guān)聯(lián)到一起,那么將沒(méi)有任何意義。
關(guān)聯(lián)安全數(shù)據(jù)有助于更為清晰地識(shí)別哪些是最重要的威脅。
但在關(guān)聯(lián)數(shù)據(jù)并形成安全報(bào)告之前,不要過(guò)早地將它們分享給利益相關(guān)者,必須對(duì)測(cè)試結(jié)果進(jìn)行驗(yàn)證并確認(rèn)為正確后方可。
應(yīng)根據(jù)目標(biāo)受眾來(lái)確定安全報(bào)告的分級(jí)分層。例如,針對(duì)企業(yè)高層管理人員,需要形成基于優(yōu)先級(jí)項(xiàng)目的摘要視圖,從高威脅類(lèi)別項(xiàng)目開(kāi)始。
而針對(duì)IT和安全專業(yè)人員,需要形成更詳細(xì)的安全報(bào)告,包括受影響系統(tǒng)以及具體的安全措施。
6.根據(jù)報(bào)告數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)評(píng)估
在評(píng)估、驗(yàn)證并生成報(bào)告后,企業(yè)應(yīng)會(huì)同利益相關(guān)者對(duì)存在漏洞的設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估,確定解決問(wèn)題的方式(緩解),哪些受影響的設(shè)備可以正常運(yùn)行(隔離),哪些需要立即停止運(yùn)行(阻斷),或?qū)嵤┑谌桨踩鉀Q方案來(lái)替換現(xiàn)有解決方案(轉(zhuǎn)移)。
每個(gè)系統(tǒng)都應(yīng)當(dāng)有針對(duì)性的一套威脅評(píng)估方法。同樣,為了最大限度地降低風(fēng)險(xiǎn)并優(yōu)化響應(yīng)時(shí)間,應(yīng)制定明確的行動(dòng)計(jì)劃,并詳細(xì)說(shuō)明快速有效地解決評(píng)估項(xiàng)目并確保設(shè)備安全的步驟。
7.實(shí)施修復(fù)
在完成評(píng)估并形成報(bào)告后,現(xiàn)在可以開(kāi)始針對(duì)報(bào)告結(jié)果進(jìn)行補(bǔ)救措施。
應(yīng)首先解決高優(yōu)先級(jí)威脅,然后是中優(yōu)先級(jí)威脅,最后是低優(yōu)先級(jí)威脅。在補(bǔ)救環(huán)節(jié),應(yīng)非常小心地驗(yàn)證漏洞是否得到解決。
可以通過(guò)重新運(yùn)行軟件,或者再次執(zhí)行測(cè)試操作來(lái)進(jìn)行確認(rèn),還要評(píng)估是否可能出現(xiàn)遺留問(wèn)題或其他問(wèn)題。
8.形成定期的制度
漏洞評(píng)估應(yīng)作為企業(yè)的一項(xiàng)持續(xù)性工作而定期開(kāi)展,重點(diǎn)是為企業(yè)高級(jí)別的網(wǎng)絡(luò)設(shè)備和服務(wù)的安全狀態(tài)。
必要時(shí)還需要上升到企業(yè)戰(zhàn)略層面,專門(mén)制定安全評(píng)估政策,以確保評(píng)估工作的正常開(kāi)展。
以上措施只是參考。隨著更多安全法律法規(guī)以及行業(yè)性規(guī)范的出臺(tái),安全合規(guī)正成為企業(yè)發(fā)展的重大挑戰(zhàn)。
網(wǎng)絡(luò)安全上升到國(guó)家戰(zhàn)略層面的同時(shí),企業(yè)也是時(shí)候?qū)⒕W(wǎng)絡(luò)安全上升到企業(yè)發(fā)展戰(zhàn)略層面。重視漏洞管理,做好漏洞評(píng)估,將為企業(yè)網(wǎng)絡(luò)安全建設(shè)帶來(lái)事半功倍的效果。