近日,《网络产品安全漏洞管理规定》的出台引起了业界的热议,《规定》对网络产品安全漏洞发现、报告、修补和发布等行为进行规范,以防范网络安全风险。
那么,针对漏洞管理,企业应当如何做好漏洞及安全风险评估工作呢? 很多企业直到成为网络攻击的受害者,方知网络安全的重要性,但已为时已晚,危害已经产生。
那么在此之前,企业能够做哪些工作才能避免此类安全问题的再次发生?
当然,企业能够做的工作有很多,其中针对各类设备的漏洞管理,评估设备的安全状况是保护企业数据和网络安全的重要部分。
漏洞管理有了制度约束
近日,为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》,对在我国的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人进行了制度约束。
《规定》自2021年9月1日起施行。《规定》的发布在网络安全界引起了广泛关注和热议,相关专家表示《规定》对于维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行,具有重大意义。
奇安信集团副总裁、补天漏洞响应平台主任张卓认为,《规定》释放了一个重要信号:我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪。
厂商和运营者不能隐瞒漏洞、拒绝漏洞、否认漏洞,必须要积极承认、积极通报、积极报告、积极修复和处理、积极通知生态环境。
厂商要积极开通接受漏洞信息的渠道、留存信息、确保及时修复、及时评估通知上下游、及时向官方通报、及时升级通报技术问题等。
网络产品安全漏洞管理有了制度的规范,不管是网络产品的提供者和网络运营者,或是从事网络产品安全漏洞活动的组织或者个人,对于其他企业来说,针对漏洞的管理,做好漏洞评估,也是防范安全风险的重要手段。
针对漏洞评估 企业能做什么?
对于企业而言,及时发现自身设备及网络的安全漏洞,是进行安全防护的重要前提。
设备及系统日志、操作更改和攻击报告数据等信息通常能够显示出安全威胁的蛛丝马迹,同时也能够为漏洞管理和修复提供一些线索。
当然,与其被动响应,不如寻找更为主动的方法。比如定期对网络设备和服务进行漏洞评估,以获取有关潜在的问题、严重程度,以及需要采取的措施。
但需要悉知,有些工作并不只是企业自己的事情,还涉及其他上下游供应商或合作伙伴等,因此在进行一些安全操作或渗透测试工作之前,可能会产生关于财务、合规等方面的影响,需要与企业的各个利益相关者进行协商。
以下措施或许能够帮助到进行漏洞评估的企业。
1.与利益相关者沟通
在进行漏洞评估时,很多人认为扫描过程是其中最重要的部分,但有时并非如此。
与利益相关者进行及时有效的沟通协商也是关键。利益相关者不仅包括上下游供应链及合作伙伴,还包括企业内部诸如管理者、IT 部门成员,甚至是人力资源部门等。
2.确定安全评估的范围和规模
在确定了利益相关者之后,所有成员必须通过协作确定安全评估的范围和规模,包括设备、网络、服务或其他。
此外,在漏洞扫描时,需要确定扫描的内容、时间和方式,包括有关何时应进行扫描的信息以及要排除的资产,因为这些评估工作有可能会影响到其他网络和资源的正常使用,应尽量减少负面影响,并保持业务连续性。
3.收集目标信息
在规则建立和范围确定后,确定渗透测试类型——白盒、灰盒或黑盒测试。
如果还没有得到任何安全信息,不妨从信息收集阶段开始,使用专业安全工具对运行的设备、网络和端口执行扫描,绘制测试环境的图景,以深入了解目标设备上运行的应用和服务。
4.进行评估
针对漏洞评估,使用什么工具,如何配置它们以及如何执行评估过程因人而异。因此,根据规则来配置工具非常重要。
此外,还应当避免因主动配置扫描操作可能对系统造成的损害。
5. 关联数据
各种安全工具种类繁多,产生的安全数据也浩如烟海,如果不能将这些数据相关联到一起,那么将没有任何意义。
关联安全数据有助于更为清晰地识别哪些是最重要的威胁。
但在关联数据并形成安全报告之前,不要过早地将它们分享给利益相关者,必须对测试结果进行验证并确认为正确后方可。
应根据目标受众来确定安全报告的分级分层。例如,针对企业高层管理人员,需要形成基于优先级项目的摘要视图,从高威胁类别项目开始。
而针对IT 和安全专业人员,需要形成更详细的安全报告,包括受影响系统以及具体的安全措施。
6.根据报告数据进行风险评估
在评估、验证并生成报告后,企业应会同利益相关者对存在漏洞的设备进行风险评估,确定解决问题的方式(缓解),哪些受影响的设备可以正常运行(隔离),哪些需要立即停止运行(阻断),或实施第三方安全解决方案来替换现有解决方案(转移)。
每个系统都应当有针对性的一套威胁评估方法。同样,为了最大限度地降低风险并优化响应时间,应制定明确的行动计划,并详细说明快速有效地解决评估项目并确保设备安全的步骤。
7.实施修复
在完成评估并形成报告后,现在可以开始针对报告结果进行补救措施。
应首先解决高优先级威胁,然后是中优先级威胁,最后是低优先级威胁。在补救环节,应非常小心地验证漏洞是否得到解决。
可以通过重新运行软件,或者再次执行测试操作来进行确认,还要评估是否可能出现遗留问题或其他问题。
8.形成定期的制度
漏洞评估应作为企业的一项持续性工作而定期开展,重点是为企业高级别的网络设备和服务的安全状态。
必要时还需要上升到企业战略层面,专门制定安全评估政策,以确保评估工作的正常开展。
以上措施只是参考。随着更多安全法律法规以及行业性规范的出台,安全合规正成为企业发展的重大挑战。
网络安全上升到国家战略层面的同时,企业也是时候将网络安全上升到企业发展战略层面。重视漏洞管理,做好漏洞评估,将为企业网络安全建设带来事半功倍的效果。