安全資訊

漏洞管理受重視，企業(yè)如何做好漏洞評估？
近日，《網(wǎng)絡(luò )產(chǎn)品安全漏洞管理規定》的出臺引起了業(yè)界的熱議，《規定》對網(wǎng)絡(luò )產(chǎn)品安全漏洞發(fā)現、報告、修補和發(fā)布等行為進(jìn)行規范，以防范網(wǎng)絡(luò )安全風(fēng)險。

那么，針對漏洞管理，企業(yè)應當如何做好漏洞及安全風(fēng)險評估工作呢？很多企業(yè)直到成為網(wǎng)絡(luò )攻擊的受害者，方知網(wǎng)絡(luò )安全的重要性，但已為時(shí)已晚，危害已經(jīng)產(chǎn)生。那么在此之前，企業(yè)能夠做哪些工作才能避免此類(lèi)安全問(wèn)題的再次發(fā)生

當然，企業(yè)能夠做的工作有很多，其中針對各類(lèi)設備的漏洞管理，評估設備的安全狀況是保護企業(yè)數據和網(wǎng)絡(luò )安全的重要部分。

漏洞管理有了制度約束

近日，為了規范網(wǎng)絡(luò )產(chǎn)品安全漏洞發(fā)現、報告、修補和發(fā)布等行為，防范網(wǎng)絡(luò )安全風(fēng)險，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合印發(fā)《網(wǎng)絡(luò )產(chǎn)品安全漏洞管理規定》，對在我國的網(wǎng)絡(luò )產(chǎn)品（含硬件、軟件）提供者和網(wǎng)絡(luò )運營(yíng)者，以及從事網(wǎng)絡(luò )產(chǎn)品安全漏洞發(fā)現、收集、發(fā)布等活動(dòng)的組織或者個(gè)人進(jìn)行了制度約束。

《規定》自2021年9月1日起施行?！兑幎ā返陌l(fā)布在網(wǎng)絡(luò )安全界引起了廣泛關(guān)注和熱議，相關(guān)專(zhuān)家表示《規定》對于維護國家網(wǎng)絡(luò )安全，保護網(wǎng)絡(luò )產(chǎn)品和重要網(wǎng)絡(luò )系統的安全穩定運行，具有重大意義。

奇安信集團副總裁、補天漏洞響應平臺主任張卓認為，《規定》釋放了一個(gè)重要信號：我國將首次以產(chǎn)品視角來(lái)管理漏洞，通過(guò)對網(wǎng)絡(luò )產(chǎn)品漏洞的收集、研判、追蹤、溯源，立足于供應鏈全鏈條，對網(wǎng)絡(luò )產(chǎn)品進(jìn)行全周期的漏洞風(fēng)險跟蹤。

廠(chǎng)商和運營(yíng)者不能隱瞞漏洞、拒絕漏洞、否認漏洞，必須要積極承認、積極通報、積極報告、積極修復和處理、積極通知生態(tài)環(huán)境。

廠(chǎng)商要積極開(kāi)通接受漏洞信息的渠道、留存信息、確保及時(shí)修復、及時(shí)評估通知上下游、及時(shí)向官方通報、及時(shí)升級通報技術(shù)問(wèn)題等。

網(wǎng)絡(luò )產(chǎn)品安全漏洞管理有了制度的規范，不管是網(wǎng)絡(luò )產(chǎn)品的提供者和網(wǎng)絡(luò )運營(yíng)者，或是從事網(wǎng)絡(luò )產(chǎn)品安全漏洞活動(dòng)的組織或者個(gè)人，對于其他企業(yè)來(lái)說(shuō)，針對漏洞的管理，做好漏洞評估，也是防范安全風(fēng)險的重要手段。

針對漏洞評估 企業(yè)能做什么？

對于企業(yè)而言，及時(shí)發(fā)現自身設備及網(wǎng)絡(luò )的安全漏洞，是進(jìn)行安全防護的重要前提。 設備及系統日志、操作更改和攻擊報告數據等信息通常能夠顯示出安全威脅的蛛絲馬跡，同時(shí)也能夠為漏洞管理和修復提供一些線(xiàn)索。

當然，與其被動(dòng)響應，不如尋找更為主動(dòng)的方法。比如定期對網(wǎng)絡(luò )設備和服務(wù)進(jìn)行漏洞評估，以獲取有關(guān)潛在的問(wèn)題、嚴重程度，以及需要采取的措施。

但需要悉知，有些工作并不只是企業(yè)自己的事情，還涉及其他上下游供應商或合作伙伴等，因此在進(jìn)行一些安全操作或滲透測試工作之前，可能會(huì )產(chǎn)生關(guān)于財務(wù)、合規等方面的影響，需要與企業(yè)的各個(gè)利益相關(guān)者進(jìn)行協(xié)商。

以下措施或許能夠幫助到進(jìn)行漏洞評估的企業(yè)。

1.與利益相關(guān)者溝通

在進(jìn)行漏洞評估時(shí)，很多人認為掃描過(guò)程是其中最重要的部分，但有時(shí)并非如此。與利益相關(guān)者進(jìn)行及時(shí)有效的溝通協(xié)商也是關(guān)鍵。利益相關(guān)者不僅包括上下游供應鏈及合作伙伴，還包括企業(yè)內部諸如管理者、IT 部門(mén)成員，甚至是人力資源部門(mén)等。

2.確定安全評估的范圍和規模

在確定了利益相關(guān)者之后，所有成員必須通過(guò)協(xié)作確定安全評估的范圍和規模，包括設備、網(wǎng)絡(luò )、服務(wù)或其他。此外，在漏洞掃描時(shí)，需要確定掃描的內容、時(shí)間和方式，包括有關(guān)何時(shí)應進(jìn)行掃描的信息以及要排除的資產(chǎn)，因為這些評估工作有可能會(huì )影響到其他網(wǎng)絡(luò )和資源的正常使用，應盡量減少負面影響，并保持業(yè)務(wù)連續性。

3.收集目標信息

在規則建立和范圍確定后，確定滲透測試類(lèi)型——白盒、灰盒或黑盒測試。如果還沒(méi)有得到任何安全信息，不妨從信息收集階段開(kāi)始，使用專(zhuān)業(yè)安全工具對運行的設備、網(wǎng)絡(luò )和端口執行掃描，繪制測試環(huán)境的圖景，以深入了解目標設備上運行的應用和服務(wù)。

4.進(jìn)行評估

針對漏洞評估，使用什么工具，如何配置它們以及如何執行評估過(guò)程因人而異。因此，根據規則來(lái)配置工具非常重要。此外，還應當避免因主動(dòng)配置掃描操作可能對系統造成的損害。

5. 關(guān)聯(lián)數據

各種安全工具種類(lèi)繁多，產(chǎn)生的安全數據也浩如煙海，如果不能將這些數據相關(guān)聯(lián)到一起，那么將沒(méi)有任何意義。關(guān)聯(lián)安全數據有助于更為清晰地識別哪些是最重要的威脅。 但在關(guān)聯(lián)數據并形成安全報告之前，不要過(guò)早地將它們分享給利益相關(guān)者，必須對測試結果進(jìn)行驗證并確認為正確后方可。

應根據目標受眾來(lái)確定安全報告的分級分層。例如，針對企業(yè)高層管理人員，需要形成基于優(yōu)先級項目的摘要視圖，從高威脅類(lèi)別項目開(kāi)始。

而針對IT 和安全專(zhuān)業(yè)人員，需要形成更詳細的安全報告，包括受影響系統以及具體的安全措施。

6.根據報告數據進(jìn)行風(fēng)險評估

在評估、驗證并生成報告后，企業(yè)應會(huì )同利益相關(guān)者對存在漏洞的設備進(jìn)行風(fēng)險評估，確定解決問(wèn)題的方式（緩解），哪些受影響的設備可以正常運行（隔離），哪些需要立即停止運行（阻斷），或實(shí)施第三方安全解決方案來(lái)替換現有解決方案（轉移）。

每個(gè)系統都應當有針對性的一套威脅評估方法。同樣，為了最大限度地降低風(fēng)險并優(yōu)化響應時(shí)間，應制定明確的行動(dòng)計劃，并詳細說(shuō)明快速有效地解決評估項目并確保設備安全的步驟。

7.實(shí)施修復

在完成評估并形成報告后，現在可以開(kāi)始針對報告結果進(jìn)行補救措施。應首先解決高優(yōu)先級威脅，然后是中優(yōu)先級威脅，最后是低優(yōu)先級威脅。在補救環(huán)節，應非常小心地驗證漏洞是否得到解決?？梢酝ㄟ^(guò)重新運行軟件，或者再次執行測試操作來(lái)進(jìn)行確認，還要評估是否可能出現遺留問(wèn)題或其他問(wèn)題。

8.形成定期的制度

漏洞評估應作為企業(yè)的一項持續性工作而定期開(kāi)展，重點(diǎn)是為企業(yè)高級別的網(wǎng)絡(luò )設備和服務(wù)的安全狀態(tài)。

必要時(shí)還需要上升到企業(yè)戰略層面，專(zhuān)門(mén)制定安全評估政策，以確保評估工作的正常開(kāi)展。

以上措施只是參考。隨著(zhù)更多安全法律法規以及行業(yè)性規范的出臺，安全合規正成為企業(yè)發(fā)展的重大挑戰。網(wǎng)絡(luò )安全上升到國家戰略層面的同時(shí)，企業(yè)也是時(shí)候將網(wǎng)絡(luò )安全上升到企業(yè)發(fā)展戰略層面。重視漏洞管理，做好漏洞評估，將為企業(yè)網(wǎng)絡(luò )安全建設帶來(lái)事半功倍的效果。