任何合規或安全倡議都必須有政策支撐。這并不是有關政策的效用或建立過程的問題,而是政策的定義。我們特别關注為了完成從業務目标到漏洞修複的一系列文檔鍊而需要的各類政策。
現有的安全政策應當充分覆寫實際操作中存在的軟體和可接受使用未授權的現象。漏洞管理系統很可能會發現這種類似的違規現象将不止一次的出現。如果安全政策規定了違規檢測必須采用的方法,就有必要對這些政策進行一些修改。類似于前一章節漏洞管理計劃群組織中的例子,操作經驗将以一種自适應的、循環的方式回報給政策。如果“可接收使用”具有優先權,則需要確定有一個支撐過程來應對新發現。
此外,漏洞管理系統自身也可被看做是一個政策的違反。請确認漏洞管理系統的使用符合授權的it或安全系統的任何政策規定。例如,考慮這樣一種情況,漏洞管理系統發現某個員工嚴重違反了公司政策,于是解聘了這個員工。而該員工的律師緊接着發現,漏洞管理系統自身就違反了公司的政策,那麼公司将可能會在司法審判中被判處嚴重的責任。
有時為了強制實施修複活動,漏洞管理合規政策是必需的。在公司裡,指導it管理者規範化的提升漏洞修複優先級的政策是很有用的。政策應當提供如下資訊:
漏洞優先級:發現的漏洞需要标注優先級。在很多情況下,一段時間内所發現的漏洞要比能被修複的漏洞多。是以需指定哪些漏洞應優先被修複。甚至需要制定一條政策,聲明在哪種情況下,系統管理者應該立刻終止手頭正在做的所有事情,轉而去修複或關閉有問題的系統。
資産評估:每個系統都是公司的一項資産,應當被估價,以作為标注優先級的依據。我們将在第6章中對這一點展開更多的讨論。
時間限制:根據漏洞嚴重性和漏洞類型,需設定漏洞修複的時間限制。這實際上就是一個公司的sla。需要基于多種标準來考慮組織的風險和威脅。這些标準可能是一些支撐标準。
使用政策
另一項重要的政策類型是關于風險管理系統自身使用的。該政策應該将關鍵性操作的一些限制條件作為重點内容。需要限制的方面如下:
免于掃描的系統類型:包括已知會受到掃描帶來不利影響的其他安全裝置或關鍵網絡裝置。
獲得掃描許可的操作要求:必須取得系統所有者和/或管理者的同意才能執行掃描操作。
sla參數:這項要求具體說明了在對特定網絡或群體目标進行掃描時需要指定的掃描參數。包括時間、帶寬限制、掃描影響評估、掃描終止請求響應時間等。這些參數對于維持漏洞掃描者與系統所有者之間良好的關系具有重要的作用。如果掃描幹擾了系統及其操作環境,系統所有者即使之前允許進行掃描,在執行中也可能會要求停止繼續掃描。
所有權和責任
一旦證明系統對于自身在管理企業關鍵業務的管理具有重大作用,接下來就應該考慮“誰來負責安排掃描時間表”、“誰來決定掃描對象、掃描時間”等問題。由于這些攻擊性行為都有可能給系統帶來危害,這些問題的提出都是合理的。避免在此類問題上産生争執的最好方法就是事先做好決定。但要注意清晰性,含糊不清是流程最大的敵人。
建立清晰的所有權描述的第一步是将其寫入政策中。流程中的關鍵職能應當在名稱上就清晰指定。至少需要如下職能:
掃描參數定義:掃描使用的業務和技術參數必須被定義且小心控制。其他人可能會參與掃描過程,而不經意的參數改動可能導緻主機或整個網絡陷入癱瘓。
掃描日程安排:制定掃描日程要經過周密的思考。謹慎對待掃描日程。日程和參數一樣,一個小小的改動就可能對業務運作造成重大沖擊。
報告釋出:漏洞報告是機密資料。在心術不正的人手裡,這些報告可能帶來巨大危害。黑客、别有用心的人或心懷不滿的員工,都可能利用漏洞報告制造麻煩。
本地主機修複:當一台主機不能通過企業主機管理工具打更新檔或修複時,需要通過當地管理者或其他合适的人來修複。
遠端修複:與本地主機活動相反,遠端修複工具通過網絡來修複主機。一項修複工作由一個或多個組織負責。例如,pc小組可能負責為通用主機打更新檔,安全小組可能要負責反病毒軟體和加密程式的更新。所有這些組織都必須事先明确為vm流程開發的積極參與者和貢獻者。
為進行良好的管理,需要有人來監控修複的過程。在一個擁有将近10 000台主機的組織中,修複過程的監控者由負責掃描的人來擔任就可以了。但是,在一個更大的組織裡,最好有一個合規團隊來執行這項工作。此外,合規團隊應該定期監控系統配置和操作。
圖3-3展示了合規管理組織如何使用現有的操作文檔、過程文檔,以及掃描結果,來驗證修複過程是否合規。這三份資料之間存在重要的關系。操作文檔告訴合規團隊漏洞管理小組所采取的行動。合規小組應當驗證漏洞管理活動的執行是否符合政策要求。
過程文檔清晰地定義了執行漏洞管理功能的細節。正是通過該文檔,合規功能可以驗證操作行為和支援輸出文檔。過程文檔自身也應該進行核查,看是否違反政策,以確定合規。某些合規檢測中,該步驟不是必須的,因為合規已成為建立漏洞管理過程的一部分。在此情況下,外部審計有時候能夠會起到保障作用。
最終,在漏洞掃描報告中産生詳盡的掃描結果資料。這些報告反映了每個負責修複的it團隊所達到的合規等級。稍後,我們将詳細讨論這些報告中的内容以及它們在成熟的、成功的漏洞管理系統中的相關性。
系統審計
漏洞管理過程中,另一個關鍵的步驟是審計。在安全機制的年度稽核中,最好由第三方來核查系統的配置和操作是有利的。任何審計都應該包括如下要素:
流程:審計員應當核查掃描、修複、驗證這個過程中沒有關鍵錯誤。審計員應該提供改進建議。
範圍:了解現有網絡分段的結構和應用後,審計員必須驗證完整、合适的目标集合已經被掃描。根據程式章程和政策,目标機清單中可以包括供應商和商業夥伴。除了現有目标之外,很重要的是認識到組織、系統和網絡是動态的。環境的改變将導緻掃描目标的範圍變化。掃描器的流程和配置應當充分适應這一變化的環境。
教育訓練操作人員:操作人員必須非常了解系統的技術細節。他們不僅要了解操作過程,還要了解漏洞的工作原理,漏洞帶來的威脅,以及威脅可能造成的風險。如果有作業系統、網絡、協定,以及各種相關應用的知識則更好。
政策調整:漏洞管理操作符合現在的政策嗎?如我們在前面讨論過的,漏洞管理流程來源于政策,政策來源于程式章程或業務目标。随着時間的推進,政策可能會變得不再滿足程式的需求。這不是由于疏忽,而是由于人們處于不斷調整以适應環境變化的自然趨勢中,沒能全面照顧到對程式章程的影響。
在響應業務環境的不斷變化中,網絡環境和系統環境也在逐漸地發生變化,于是原先的政策變得不再能反應業務需求。例如,以往産品銷售是面對面進行的,是以,沒有關于合理加密或處理顧客财務資料的政策。後來,人們開拓了網絡市場。現行的政策規定電子支付資料必須通過銀行實作轉賬而不能由公司系統處理。但是,在最近被采納的線上銷售模型中,顧客提供的支付資訊是由公司計算機系統處理的。現在,大量漏洞和合規問題出現在加密方面,網絡設計和系統配置中。由于政策一直未被修正,難以發現和修複這些系統中的合規問題。所讨論的系統可能超出了漏洞管理的範圍。
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)