信息安全漏洞閉環管理探討
時間:2022-12-13 08:32:19
導語:信息安全漏洞閉環管理探討一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。
摘要:信息安全漏洞是信息安全中最為常見的威脅之一。對于信息安全漏洞威脅的解決通常采用漏洞發現和漏洞修補的方式來解決,但在實際中存在諸多的問題。本文研究分析了信息安全漏洞在管理上存在的問題,分析了當前最新的安全漏洞閉環管理理念,并指出了其中一些不足和可行的改進。
關鍵詞:信息安全;漏洞;管理
1緒論
在計算機世界,漏洞通常是三個因素的交集:即系統的脆弱性或缺陷,攻擊者可能訪問的缺陷以及攻擊者利用缺陷的能力[1]。在本文中我們主要關注的是IT軟件或IT設備中內嵌操作系統應軟件編寫缺陷而可能被攻擊者利用的安全漏洞。對于安全漏洞的認識和對其防護,企業和組織已不陌生,但是在具體實踐中仍存在一些實際操作的問題。本文將針對國內外安全界針對安全漏洞管理提出的新思路進行研究和分析,對其中存在問題進行闡述并提出相應可行的技術應對措施。
2漏洞管理目前存在的問題
國外權威機構、相關國家機構和安全人員對安全漏洞的管理很早就提出了相關的理念,流程和管理思路。例如ParkForeman將漏洞管理分為漏洞識別、周期性實踐分類、修復和減輕安全漏洞[2]。ISO組織和美國NIST組織在ISO/IECFIDIS27005:2008[3]和NISTSP800-30[4]標準中亦提出類似的漏洞管理流程。但是目前在企業中針對安全漏洞的安全防護和安全管理多采用購買安全廠家的漏洞掃描產品進行漏洞掃描,根據掃描結果進行手工加固的方式。在這種實踐模式中,往往存在以下三個問題。
2.1漏洞處置反應緩慢
從漏洞的公布到補丁的往往存在一個時間窗口期,而這個窗口期對于企業和組織而言是一個潛在而致命的時間窗。在這個時間窗內,攻擊者往往早于漏洞存在方研究出切實可行的攻擊技術并開發出具體攻擊執行工具。此外由于地下社區的存在,攻擊工具很快將得以普及并被各類攻擊者用于發起對漏洞的攻擊利用。在這種情況下,企業和組織在僅依靠單純漏洞掃描產品的情況下,是束手無策的。
2.2漏洞管理流程沒有量化
漏洞管理是一個安全管理流程,因此它不是應用、軟件和服務,需要企業和組織結合自身實際情況來建立和維護。在此過程中,企業和組織通常只關注了漏洞掃描發現和漏洞加固環節自身,而對流程中涵蓋的執行的優先性、效率性、有效性和量化管控沒有進行關注。
2.3漏洞修補的困難性
事實上,在實踐中,企業和組織往往可以獲得全面的漏洞掃描報告,但是這類報告并沒有幫助解決諸如:漏洞危害程度和業務危害程度關聯性、漏洞修補優先性、漏洞修補對業務影響性的實際問題。因此管理者在漏洞修改環節中往往依采取兩種方式:①僅根據掃描報告就進行加固,對業務安全可能帶來連帶附加影響。②對漏洞以可能影響業務安全運行的理由采取放任不管的方式。以上兩種方式顯然都不是最佳的漏洞加固實踐方式。
3新的漏洞管理研究
根據以上面臨的問題和客戶的實際需求,信息安全界已開展了一些積極的研究。美國獨立研究機構Gartner在2015年提出了一個新的漏洞管理解決框架流程圖,將漏洞管理分成3個管理階段。其中階段1定義計劃和目標完成漏洞管理的范圍、流程和方法做出詳細的規定。階段2漏洞評估完成掃描目標、范圍、設備部署等評估模型以及漏洞評估流程的執行。階段三漏洞修補則執行漏洞修補重掃和驗證、漏洞的持續監控和漏洞管理度量。一些安全研究人員和安全廠家提出在漏洞管理過程中引入安全威脅情報,通過威脅情報來驅動漏洞管理。以往,威脅情報僅停留在研究機構,而最終用戶在引入威脅情報后,將讓用戶以更好的安全事件提高看待風險的視覺,成為高效率和成功的安全管理過程[6]。在此過程中,企業和組織用戶和第三方建立安全威脅情報共享機制,將安全情報威脅通告納入到自身的安全漏洞管理,并通過其在最短時間內獲知漏洞披露(如漏洞技術原理)、漏洞利用(如利用代碼的出現)和漏洞熱度(如漏洞關注度、可能/具體影響范圍)等情報。以上情報的獲知將降低企業和機構對漏洞知曉的盲期,確認加固的優先性,減少遭受漏洞攻擊的可能性。此外,由于互聯網社區的廣泛存在,還有一些研究機構提出將專業漏洞修補社區的情報信息將以整理和提煉,之后將其作為漏洞加固/修補的威脅情報對外提供[7]。幫助企業和組織解決在實際修補時擔心加固方法的可操作性以及加固對業務正常運行風險影響的諸多問題。另外一些研究方向認為完整的漏洞管理在技術環節的實現上除了傳統的安全漏洞掃描評估工具/系統外,還應將威脅情報、資產管理、業務漏洞安全分析、漏洞運維管理、評估度量一并納入,形成一整套的威脅漏洞管理平臺。國外安全分析師OliverRochford和NeilMacDonald[8]提出具備以上齊備功能的威脅和漏洞管理平臺(ThreatVulnerabilityManagementPlat-form)將傳統“如何發現漏洞”的漏洞安全管理模式變為“怎樣解決漏洞”的模式并將在今后成為企業和組織安全中心的5大安全管控子平臺之一。
4當前安全漏洞管理的不足和解決思路
從以上研究分析可以看到,當前的新的安全了漏洞管理已較好的覆蓋了漏洞管理的所有環節。但是在安全加固方面還是存在一點問題。從加固的實際情況來看,企業和組織目前更為關心的是加固是否會對業務正常運行造成影響,是否會因加固而帶來業務安全的風險問題。因此作為新的的漏洞安全管理解決框架中應增加用戶業務環境補丁加固驗證的技術手段和能力,通過該技術手段/能力有效的解決前面用戶關注對系統和對業務的風險影響。在補丁修復中理論上作為最佳的補丁加固驗證方式自然是在與真實業務環境完全一致的測試/備份環境中進行。但實際情況中存在兩個問題:①企業和組織方尤其是中小型機構受限于投資預算,完全不具備此類環境。②即便是大型機構也不太可能對所有業務系統都設立測試/備份系統。因此需要另辟蹊徑。從目前來看,采取虛擬化技術是一種較為可行的解決思路。這里嘗試給出以下的設計實現方式。在該方式中,利用虛擬化備份技術(本地虛擬化化,或云虛擬化)來實現對業務系統操作系統、業務軟件、數據庫的整機虛擬化備份。然后在虛擬化備份上進行補丁加固并驗證其對業務運行的安全影響。整個驗證流程可以分成以下六個步驟:步驟1:威脅漏洞管理平臺向補丁加固驗證系統下發驗證任務;步驟2:補丁加固驗證系統對業務系統進行鏡像仿真,仿真后在鏡像系統上進行補丁加固;步驟3:威脅漏洞管理平臺向漏洞掃描系統下發補丁加固重驗證任務;步驟4:漏洞掃描系統對補丁加固驗證系統上的加固后鏡像進行漏洞掃描并向威脅漏洞管理平臺反饋掃描結果;步驟5:威脅漏洞管理平臺根據驗證結果向補丁加固驗證系統發出刪除鏡像恢復初始指令。整體的流程如圖2所示。以上方式在實際實現中還有若干問題需要考慮并解決。這些問題包括:(1)由于企業和組織的業務環境不盡相同,涉及業務主機、操作系統、業務軟件、數據庫、中間件等軟硬件。因此需要考慮補丁加固驗證系統對業務系統進行鏡像仿真的支持情況。此外如果業務系統龐大,則還需考慮仿真系統的仿真容量和運行性能;(2)業務系統的正常運行不僅是業務軟硬件還涉及業務數據流。因此僅仿真操作系統、業務軟件和后臺數據庫等并進行加固并不能模擬業務運行的真實情況;(3)一般情況下,對業務流的真實仿真較難實現,因此對于需要考慮業務安全并穩定運行的全面驗證測試情況下,仍需要考慮如何引入表征真實應用訪問的數據流進行測試。在引入業務流的在實際情況下,可能涉及到企業和組織內部的多個部門,并需要進行多部門的溝通和協調。
5結束語
信息安全漏洞是駭客攻擊利用的主要對象之一,因此建設并實現漏洞安全管理是信息安全管理體系中重要的內容之一。信息安全業界目前對漏洞管理已形成一致的看法,即漏洞管理不僅需要常規的安全掃描,還需要嵌入資產管理、業務安全關聯分析、運維度量并結合最新的安全威脅情報和可行的補丁加固與驗證環節與內容最終形成一個整體統一的威脅漏洞閉環管理。但是在具體實現中還存在一些具體的技術實現難題,我們仍還需要繼續對其進行關注,開展廣泛的理論研究和實踐。
作者:婁宇 單位:云南電網有限責任公司文山供電局
- 上一篇:信息安全審計技術在現實工作中的運用
- 下一篇:高職院校護理專業教學研究
精品范文
3信息簡報