若建立在可满足所有利益相关者信息需求的成熟基本目标之上,若其输出能够绑定企业目标,若能够减少企业的总体风险,那么企业的漏洞管理项目就能发挥出其全部潜力。
此类漏洞管理技术能够检测风险,但需要人与过程的基础以确保项目成功。
漏洞管理项目有四个阶段:
- 确定资产关键性、资产拥有者、扫描频率,以及确立修复时间线;
- 发现网络上的资产,并建立清单;
- 识别已发现资产中的漏洞;
- 报告并修复已识别漏洞。
第一阶段关注可衡量、可重复过程的建立。第二阶段就第一阶段的四个重点执行该过程,着重持续改进。下面我们详细分析这几个阶段。
第一阶段:漏洞扫描过程
(1) 此阶段中的第一步是确定企业中资产的关键性
想要构建有效风险管理项目,必须首先确定企业中哪些资产需要保护。这适用于企业网络上的计算系统、存储设备、网络、数据类型和第三方系统。资产应分类,并根据其对企业的真正固有风险加以排序。
资产固有风险评分应考虑很多方面,比如对更高级别资产的物理或逻辑连接、用户访问及系统可用性。
举个例子,隔离区中享有账户数据库逻辑访问权的资产,其关键性就比实验室中的资产高。相比测试环境,生产环境中的资产享有更高的关键性。互联网可路由 Web 服务器比内部文件服务器更关键。
然而,即便关键性较低的资产,其修复也不容忽视。攻击者可利用这些常被忽视的资产获取访问权,然后在网络中巡游,入侵多个系统,直至入手存放敏感数据的系统。修复工作应总是基于整体风险相关性。
(2) 第二步是识别每个系统的拥有者
系统拥有者全权负责该资产、其相关风险和被黑后的责任。这一步对于漏洞管理项目的成功十分关键,因为驱动着企业内的问责和修复工作。
如果没人承担风险,就没人推动该风险的缓解。
(3) 第三步是确定扫描频率
互联网安全中心在其 Top 20 关键安全控制中建议,公司企业应 “以每周一次或更频繁的频率,对其网络上的所有系统执行自动化漏洞扫描”。网络安全厂商 Tripwire 每周发布一次漏洞特征 (ASPL)。
频繁扫描使漏洞使资产拥有者能够跟踪修复工作进展,发现新的风险,并基于新收集的情报重新排序漏洞修复。
漏洞公布之初可能会因没有已知漏洞利用程序而漏洞评分较低。一旦漏洞面世一段时间,自动化漏洞利用工具包就可能出现,也就会增加该漏洞的风险。脆弱系统可能会因新安装软件或补丁回滚而易受一个或一组漏洞的影响。
很多因素可能影响资产更改的风险态势。频繁扫描确保资产拥有者紧跟最新信息。最底线,漏洞扫描频率应不低于每月一次。
(4) 建立该过程的第四步是确立和记录修复的时间线及阈值
可以自动化方式利用,可赋予攻击者特权控制的漏洞,应当立即修复。提供更难利用的特权控制,或目前仅在理论上可利用的漏洞,应在 30 天内修复。危险程度更低的漏洞应当在 90 天内修复。
系统拥有者无法在恰当时间框架内修复漏洞的情况下,应可应用修复异常过程。
该过程应记录下系统拥有者对此风险的理解与接受情况,并设置在某一日期前修复该漏洞的可接受行动计划。有效期是漏洞异常的必备元素。
第二阶段:资产发现与清单建立
资产发现与清单建立位列关键安全控制的第一和第二位。这是任何安全项目的基础——无论是信息安全还是其他安全,因为防御者无法保护自己不知道的东西。
首要关键安全控制是拥有网络上所有已授权和未授权设备的清单。次要关键安全控制是拥有企业网络中资产上安装的已授权和未授权软件的清单。
这两个关键安全控制相辅相成,因为攻击者总试图发现可容易利用的系统以进入企业网络。一旦进入网络,攻击者便可利用其在此系统上的控制权攻击其他系统,进一步渗透此网络。
确保信息安全团队知晓网络上都有些什么,可以使他们更好地保护这些系统,并为这些系统的拥有者提供指导,减少这些资产面临的风险。
用户部署了系统却未通告信息安全团队的情况非常常见,从测试服务器到员工桌下为了方便而设置的无线路由器等等。如果缺乏恰当的资产发现和网络访问控制,此类设备可为攻击者打开进入内部网络的方便之门。
在确定范围内执行资产发现,并在执行漏洞扫描前识别这些已发现资产上运行着哪些应用。
第三阶段:漏洞检测
发现了网络上所有资产后,下一步就是识别每个资产的漏洞风险状态。
可通过未经身份验证或经验证的扫描发现漏洞,或者部署代理以确定漏洞状态。攻击者通常会以未经身份验证的扫描查看系统状态。因此,不带凭证的扫描将提供类似原始攻击者所看到的系统漏洞状态视图。
未经身份验证的扫描有利于识别一些极高风险漏洞,此类漏洞可被攻击者远程检测并利用以获取系统的深层访问权。然而,总有一些漏洞是用户下载邮件附件或点击恶意链接就能利用的,用未经身份验证的扫描还检测不到。
更为全面的漏洞扫描推荐方是经验证的扫描,或者部署代理。这种方法可以提升企业漏洞风险检测的准确性。经验证的扫描特定于资产发现与清单建立阶段检测出的操作系统和已安装应用,识别其上存在哪些漏洞。
本地安装应用中的漏洞只能由这种方法检测。经验证的漏洞扫描还能识别攻击者可能从外部未经验证漏洞扫描中看到的那些漏洞。
很多漏洞扫描器提供的漏洞状态结果仅检测补丁级别或应用版本。漏洞扫描工具应该提供更为详尽的分析,因为其漏洞特征码能够确定很多因素。比如脆弱库的移除、注册表键和(但不限于)应用修复是否需重启系统。
第四阶段:报告与修复
漏洞扫描完成后,每个漏洞都会由指数型算法基于三个因素给出漏洞评分:
- 利用该漏洞所需的技术;
- 成功漏洞利用所能获得的权限;
- 漏洞年龄。
漏洞越容易利用,能获得的权限越高,风险评分就越高。除此之外,风险评分随漏洞年龄增长而增加。应考虑的首要指标是企业的总体基线平均风险评分。
最成熟的企业其平均风险评分甚至更低,并且专注于解决风险评分高于 1,000 的每一个漏洞。应关注的下一个指标就是资产拥有者平均风险评分。
资产所有权在第一阶段就已识别,因此,每个拥有者都应能够看到其资产的基线风险评分。与企业总体目标类似,每个拥有者应从平均风险评分每年递减 10% 到 25% 开始,直到评分低于企业可接受阈值。
系统拥有者相互之间应能看到各自评分,进行对比以知悉自身所处位置。风险评分最低的系统拥有者应受到奖励。
为推动修复,系统拥有者需要实证漏洞数据以描述哪些漏洞应修复,以及如何执行修复的说明。报告应显示最脆弱的主机、风险评分最高的漏洞和/或针对特定高危应用的报告。这样系统拥有者就可以合理排序修复工作,优先解决可最大限度降低企业风险的那些漏洞。
随着新漏洞扫描的执行,新的指标可与之前扫描的指标做对比,显示风险趋势分析和修复进展。
可用于跟踪修复情况的一些指标如下:
- 拥有者每资产平均漏洞评分和总体平均漏洞评分如何?
- 拥有者修复基础设施漏洞平均耗时和总体修复平均耗时有多长?
- 拥有者修复应用漏洞平均耗时和总体修复平均耗时有多长?
- 最近未接受漏洞扫描的资产占比多少?
- 系统上暴露了多少提供特权访问的远程可利用漏洞?
项目构建初始阶段,企业平均漏洞评分很高、修复周期很长的现象并不罕见。关键在于逐月、逐季度、逐年进展。
随着团队对此过程愈加熟悉,愈加了解攻击者带来的风险,企业风险评分和漏洞修复时间应会逐渐减少。
漏洞与风险管理是个持续的过程。最成功的项目能够持续自适应,且与企业网络安全项目的风险减少目标相一致。应经常审查该过程,员工应紧跟信息安全最新威胁与趋势。
确保人员、过程与技术的持续发展,将保证企业漏洞与风险管理项目的成功。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】