信息安全漏洞閉環(huán)管理探討_第1頁
信息安全漏洞閉環(huán)管理探討_第2頁
信息安全漏洞閉環(huán)管理探討_第3頁
信息安全漏洞閉環(huán)管理探討_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、 PAGE 4信息安全漏洞閉環(huán)管理探討摘要:信息安全漏洞是信息安全中最為常見的威脅之一。對于信息安全漏洞威脅的解決通常采用漏洞發(fā)現(xiàn)和漏洞修補的方式來解決,但在實際中存在諸多的問 題。本文研究分析了信息安全漏洞在管理上存在的問題,分析了當前最新的安全漏洞閉環(huán)管理理念,并指出了其中一些不足和可行的改進。關(guān)鍵詞:信息安全;漏洞;管理1 緒論在計算機世界,漏洞通常是三個因素的交集:即系統(tǒng)的脆弱性或缺陷,攻擊者可能訪問的缺陷以及攻擊者利用缺陷的能力1。在本文中我們主要關(guān)注的是IT 軟件或 IT 設(shè)備中內(nèi)嵌操作系統(tǒng)應(yīng)軟件編寫缺陷而可能被攻擊者利用的安全漏洞。對于安全漏洞的認識和對其防護,企業(yè)和組織已不陌生

2、,但是在具體實踐中仍存在一些實際操作的問題。本文將針對國內(nèi)外安全界針對安全漏洞管理提出的新思路進行研究和分析,對其中存在問題進行闡述并提出相應(yīng)可行的技術(shù)應(yīng)對措施。漏洞管理目前存在的問題國外權(quán)威機構(gòu)、相關(guān)國家機構(gòu)和安全人員對安全漏洞的管理很早就提出了相關(guān)的理念,流程和管理思路。例如ParkForeman 將漏洞管理分為漏洞識別、周期性實踐分類、修復(fù)和減輕安全漏洞2 。ISO 組織和美國 NIST 組織在ISO/IECFIDIS27005:20083和 NISTSP800-304標準中亦提出類似的漏洞管理流程。但是目前在企業(yè)中針對安全漏洞的安全防護和安全管理多采用購買安全廠家的漏洞掃描產(chǎn)品進行漏洞

3、掃描,根據(jù)掃描結(jié)果進行手工加固的方式。在這種實踐模式中,往往存在以下三個問題。漏洞處置反應(yīng)緩慢從漏洞的公布到補丁的發(fā)布往往存在一個時間窗口期,而這個窗口期對于企業(yè)和組織而言是一個潛在而致命的時間窗。在這個時間窗內(nèi),攻擊者往往早于漏洞存在方研究出切實可行的攻擊技術(shù)并開發(fā)出具體攻擊執(zhí)行工具。此外由于地下社區(qū)的存在,攻擊工具很快將得以普及并被各類攻擊者用于發(fā)起對漏洞的攻擊利用。在這種情況下,企業(yè)和組織在僅依靠單純漏洞掃描產(chǎn)品的情況下,是束手無策的。漏洞管理流程沒有量化漏洞管理是一個安全管理流程,因此它不是應(yīng)用、軟件和服務(wù),需要企業(yè)和組織結(jié)合自身實際情況來建立和維護。在此過程中,企業(yè)和組織通常只關(guān)注了

4、漏洞掃描發(fā)現(xiàn)和漏洞加固環(huán)節(jié)自身,而對流程中涵蓋的執(zhí)行的優(yōu)先性、效率性、有效性和量化管控沒有進行關(guān)注。漏洞修補的困難性事實上,在實踐中,企業(yè)和組織往往可以獲得全面的漏洞掃描報告,但是這類報告并沒有幫助解決諸如:漏洞危害程度和業(yè)務(wù)危害程度關(guān)聯(lián)性、漏洞修補優(yōu)先性、漏洞修補對業(yè)務(wù)影響性的實際問題。因此管理者在漏洞修改環(huán)節(jié)中往往依采取兩種方式:僅根據(jù)掃描報告就進行加固,對業(yè)務(wù)安全可能帶來連帶附加影響。對漏洞以可能影響業(yè)務(wù)安全運行的理由采取放任不管的方式。以上兩種方式顯然都不是最佳的漏洞加固實踐方式。新的漏洞管理研究根據(jù)以上面臨的問題和客戶的實際需求,信息安全界已開展了一些積極的研究。美國獨立研究機構(gòu) G

5、artner 在 2015 年提出了一個新的漏洞管理解決框架流程圖,將漏洞管理分成3 個管理階段。其中階段1 定義計劃和目標完成漏洞管理的范圍、流程和方法做出詳細的規(guī)定。階段2 漏洞評估完成掃描目標、范圍、設(shè)備部署等評估模型以及漏洞評估流程的執(zhí)行。階段三漏洞修補則執(zhí)行漏洞修補重掃和驗證、漏洞的持續(xù)監(jiān)控和漏洞管理度量。一些安全研究人員和安全廠家提出在漏洞管理過程中引入安全威脅情報,通過威脅情報來驅(qū)動漏洞管理。以往,威脅情報僅停留在研究機構(gòu),而最終用戶在引入威脅情報后,將讓用戶以更好的安全事件提高看待風險的視覺,成為高效率和成功的安全管理過程6。在此過程中,企業(yè)和組織用戶和第三方建立安全威脅情報共

6、享機制,將安全情報威脅通告納入到自身的安全漏洞管理,并通過其在最短時間內(nèi)獲知漏洞披露(如漏洞技術(shù)原理)、漏洞利用(如利用代碼的出現(xiàn))和漏洞熱度(如漏洞關(guān)注度、可能/具體影響范圍)等情報。以上情報的獲知將降低企業(yè)和機構(gòu)對漏洞知曉的盲期,確認加固的優(yōu)先性,減少遭受漏洞攻擊的可能性。此外,由于互聯(lián)網(wǎng)社區(qū)的廣泛存在, 還有一些研究機構(gòu)提出將專業(yè)漏洞修補社區(qū)的情報信息將以整理和提煉,之后將其作為漏洞加固/修補的威脅情報對外提供7。幫助企業(yè)和組織解決在實際修補時擔心加固方法的可操作性以及加固對業(yè)務(wù)正常運行風險影響的諸多問題。另外一些研究方向認為完整的漏洞管理在技術(shù)環(huán)節(jié)的實現(xiàn)上除了傳統(tǒng)的安全漏洞掃 描評估工

7、具/系統(tǒng)外,還應(yīng)將威脅情報、資產(chǎn)管理、業(yè)務(wù)漏洞安全分析、漏洞運維管理、評估度量一并納入,形成一整套的威脅漏洞管理平臺。國外安全分析師OliverRochford 和 NeilMacDonald8提出具備以上齊備功能的威脅和漏洞管理平臺(ThreatVulnerabilityManagementPlat-form)將傳統(tǒng)“如何發(fā)現(xiàn)漏洞”的漏洞安全管理模式變?yōu)椤霸鯓咏鉀Q漏洞”的模式并將在今后成為企業(yè)和組織安 全中心的 5 大安全管控子平臺之一。當前安全漏洞管理的不足和解決思路從以上研究分析可以看到,當前的新的安全了漏洞管理已較好的覆蓋了漏洞管理的所有環(huán)節(jié)。但是在安全加固方面還是存在一點問題。從加固

8、的實際情況來看,企業(yè)和組織目前更為關(guān)心的是加固是否會對業(yè)務(wù)正常運行造成影響,是否會因加固而帶來業(yè)務(wù)安全的風險問題。因此作為新的的漏洞安全管理解決框架中應(yīng)增加用戶業(yè)務(wù)環(huán)境補丁加固驗證的技術(shù)手段和能力,通過該技術(shù)手段/能力有效的解決前面用戶關(guān)注對系統(tǒng)和對業(yè)務(wù)的風險影響。在補丁修復(fù)中理論上作為最佳的補丁加固驗證方式自然是在與真實業(yè)務(wù)環(huán)境完全一致的測試/備份環(huán)境中進行。但實際情況中存在兩個問題:企業(yè)和組織方尤其是中小型機構(gòu)受限于投資預(yù)算,完全不具備此類環(huán)境。即便是大型機構(gòu)也不太可能對所有業(yè)務(wù)系統(tǒng)都設(shè)立測試/備份系統(tǒng)。因此需要另辟蹊徑。從目前來看,采取虛擬化技術(shù)是一種較為可行的解決思路。這里嘗試給出以下

9、的設(shè)計實現(xiàn)方式。在該方式中,利用虛擬化備份技術(shù)(本地虛擬化化,或云虛擬化)來實現(xiàn)對業(yè)務(wù)系統(tǒng)操作系統(tǒng)、業(yè)務(wù)軟件、數(shù)據(jù)庫的整機虛擬化備份。然后在虛擬化備份上進行補丁加固并驗證其對業(yè)務(wù)運行的安全影響。整個驗證流程可以分成以下六個步驟:步驟 1:威脅漏洞管理平臺向補丁加固驗證系統(tǒng)下發(fā)驗證任務(wù);步驟 2:補丁加固驗證系統(tǒng)對業(yè)務(wù)系統(tǒng)進行鏡像仿真,仿真后在鏡像系統(tǒng)上進行補丁加固;步驟 3:威脅漏洞管理平臺向漏洞掃描系統(tǒng)下發(fā)補丁加固重驗證任務(wù);步驟 4:漏洞掃描系統(tǒng)對補丁加固驗證系統(tǒng)上的加固后鏡像進行漏洞掃描并向威脅漏洞管理平臺反饋掃描結(jié)果;步驟 5:威脅漏洞管理平臺根據(jù)驗證結(jié)果向補丁加固驗證系統(tǒng)發(fā)出刪除鏡像

10、恢復(fù)初始指令。整體的流程如圖2 所示。以上方式在實際實現(xiàn)中還有若干問題需要考慮并解決。這些問題包括:(1)由于企業(yè)和組織的業(yè)務(wù)環(huán)境不盡相同,涉及業(yè)務(wù)主機、操作系統(tǒng)、業(yè)務(wù)軟件、數(shù)據(jù)庫、中間件等軟硬件。因此需要考慮補丁加固驗證系統(tǒng)對業(yè)務(wù)系統(tǒng)進行鏡像仿真的支持情況。此外如果業(yè)務(wù)系統(tǒng)龐大,則還需考慮仿真系統(tǒng)的仿真容量和運行性能;(2)業(yè)務(wù)系統(tǒng)的正常運行不僅是業(yè)務(wù)軟硬件還涉及業(yè)務(wù)數(shù)據(jù)流。因此僅仿真操作系統(tǒng)、業(yè)務(wù)軟件和后臺數(shù)據(jù)庫等并進行加固并不能模擬業(yè)務(wù)運行的真實情況;(3)一般情況下,對業(yè)務(wù)流的真實仿真較難實現(xiàn),因此對于需要考慮業(yè)務(wù)安全并穩(wěn)定運行的全面驗證測試情況下,仍需要考慮如何引入表征真實應(yīng)用訪問的數(shù)據(jù)流進行測試。在引入業(yè)務(wù)流的在實際情況下, 可能涉及到企業(yè)和組織內(nèi)部的多個部門,并需要進行多部門的溝通和協(xié)調(diào)。結(jié)束語信息安全漏洞是駭客攻擊利用的主要對象之一,因此建設(shè)并實現(xiàn)漏洞安全管理是信息安全管理體系中重要的內(nèi)容之

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論