文档介绍:
信息安全漏洞闭环管理探讨
摘要:信息安全漏洞是信息安全中最为常见的威胁之一。对于信息安全漏洞威胁的解决通常采用漏洞发现和漏洞修补的方式来解决,但在实际中存在诸多的问题。本文研究分析了信息安全漏洞在管理上存在的问题,分析了当前最新的安全漏洞闭环管理理念,并指出了其中一些不足和可行的改进。
关键词:信息安全;漏洞;管理
1绪论
在计算机世界,漏洞通常是三个因素的交集:即系统的脆弱性或缺陷,攻击者可能访问的缺陷以及攻击者利用缺陷的能力[1]。在本文中我们主要关注的是IT软件或IT设备中内嵌操作系统应软件编写缺陷而可能被攻击者利用的安全漏洞。对于安全漏洞的认识和对其防护,企业和组织已不陌生,但是在具体实践中仍存在一些实际操作的问题。本文将针对国内外安全界针对安全漏洞管理提出的新思路进行研究和分析,对其中存在问题进行阐述并提出相应可行的技术应对措施。
2漏洞管理目前存在的问题
国外权威机构、相关国家机构和安全人员对安全漏洞的管理很早就提出了相关的理念,流程和管理思路。例如ParkForeman将漏洞管理分为漏洞识别、周期性实践分类、修复和减轻安全漏洞[2]。ISO组织和美国NIST组织在ISO/IECFIDIS27005:2008[3]和NISTSP800-30[4]标准中亦提出类似的漏洞管理流程。但是目前在企业中针对安全漏洞的安全防护和安全管理多采用购买安全厂家的***产品进行***,根据扫描结果进行手工加固的方式。在这种实践模式中,往往存在以下三个问题。
从漏洞的公布到补丁的发布往往存在一个时间窗口期,而这个窗口期对于企业和组织而言是一个潜在而致命的时间窗。在这个时间窗内,攻击者往往早于漏洞存在方研究出切实可行的攻击技术并开发出具体攻击执行工具。此外由于地下社区的存在,攻击工具很快将得以普及并被各类攻击者用于发起对漏洞的攻击利用。在这种情况下,企业和组织在仅依靠单纯***产品的情况下,是束手无策的。
漏洞管理是一个安全管理流程,因此它不是应用、软件和服务,需要企业和组织结合自身实际情况来建立和维护。在此过程中,企业和组织通常只关注了***发现和漏洞加固环节自身,而对流程中涵盖的执行的优先性、效率性、有效性和量化管控没有进行关注。
事实上,在实践中,企业和组织往往可以获得全面的***报告,但是这类报告并没有帮助解决诸如:漏洞危害程度和业务危害程度关联性、漏洞修补优先性、漏洞修补对业务影响性的实际问题。因此管理者在漏洞修改环节中往往依采取两种方式:①仅根据扫描报告就进行加固,对业务安全可能带来连带附加影响。②对漏洞以可能影响业务安全运行的理由采取放任不管的方式。以上两种方式显然都不是最佳的漏洞加固实践方式。
3新的漏洞管理研究
根据以上面临的问题和客户的实际需求,信息安全界已开展了一些积极的研究。美国独立研究机构Gartner在2015年提出了一个新的漏洞管理解决框架流程图,将漏洞管理分成3个管理阶段。其中阶段1定义计划和目标