您当前位置:首页 > 资讯中心 > 信息安全

如何做好漏洞管理的漏洞修复工作

  漏洞管理工作是企业安全建设必不可少的一环,在风险管理工作中,漏洞管理能够防患于未然,企业对漏洞管理有着广泛的基础建设和实践经验。但随着攻防技术的发展,传统漏洞管理的安全技术和管理过程,开始面对越来越多的挑战。怎样提高企业的漏洞管理水平成了安全管理人员需要去思考的问题。
 
  从内部来看,已经制定了漏洞管理制度,有专人负责漏洞扫描和修补,但出现紧急漏洞还是手忙脚乱,仍然是疲于应对不断发现的漏洞,在接受监管检查的时候总是有漏洞被发现。
 
  从外部来看,漏洞已经成为当前IT领域的热门话题之一。首先,从攻防的不对等角度来说,攻击者对漏洞的利用早已形成了产业化,攻击者利用漏洞的时间窗远远小于防御者完成漏洞修复的时间窗。其次,随着信息技术的发展,大量应用的推广必然会带来大量的漏洞爆发。
 
  怎样提高企业的漏洞管理水平成了安全管理人员需要去思考的问题,而漏洞管理中漏洞修复工作是尤其重要的。
 
  一、漏洞修复现状
 
  首先了解一下影响漏洞修复的几个主要原因:
 
  企业随着业务的增长,资产数量也在疯狂的增长,外部漏洞披露逐年增多,导致企业漏洞数量也随之增多,漏洞修复速度远远达不到漏洞产生的速度,就会导致漏洞逐年积压,形成企业漏洞管理顽疾。
 
  企业内部建立漏洞管理机制,但是漏洞管理很重要的一部分是流程管理环节,其中会涉及到企业内部众多部门协调工作,针对漏洞管理人员的职责不明确,缺乏领导人员监督执行。导致企业漏洞管理沦为纸上谈兵。
 
  企业内部漏洞修复工作缺乏量化指标,导致漏洞修复成果不清晰,没有具体量化指标来约束负责漏洞管理工作的人员,也没有办法来奖励负责漏洞管理工作的人员,导致相关人员工作积极性下降。
 
  漏洞修复工作涉及资产范围广,某些漏洞修复工作对技术要求高,运维人员修复难度大,需要更有效、更全面和更权威的漏洞解决方案来指导运维人员进行漏洞修复,依靠传统的技术很难完全覆盖所有的漏洞修复解决方案。
 
  二、提高漏洞修复工作的方法
 
  漏洞修复工作作为漏洞管理的核心,依靠传统的漏洞扫描设备或解决方案已不能满足当下漏洞修复遇见的问题,需要企业利用新的技术手段搭建适合自身漏洞管理现状的漏洞管理平台来实现漏洞管理工作,而在漏洞平台搭建中对于漏洞修复方面的建设可以考虑以下几个方向。
 
  1. 漏洞修复优先级
 
  在漏洞修复工作中引入漏洞修复优先级的概念,而漏洞修复优先级的参考因子可以有资产重要性、漏洞POC、资产防御情况、漏洞热度等,同时利用绝对条件的因数对漏洞进行过滤,绝对条件即为符合这类条件的漏洞如果按优先级评分来说只会有0或者100的两个极端分值,对于运维人员来说可以根据分值很好的去判断是否修复此类漏洞,一类是必须修复的情况:如面向互联网的重要资产发现可利用高危漏洞;一类是无法修复的情况:如内部进行物理隔离的核心业务系统。依据漏洞优先级评分来进行漏洞优先修复工作时,还需要对较终的优先级评分进行人工的修正,保证得出的优先级是具有参考价值的。漏洞修复优先级的概念是为了解决企业在面对大量漏洞的情况下,如何做到更好的利用企业资源优先处理紧急程度更高的漏洞。
 
  2. 漏洞修复流程优化
 
  把漏洞修复流程的每个环节与响应人员进行绑定,不仅仅只限于不同运维人员或安全人员,同时还要要求相应的领导决策人员加入,提高漏洞修复响应的效率,同时监督漏洞修复流程的进行。
 
  漏洞修复流程必须严格明确:
 
  (1) 漏洞发现阶段由企业安全人员进行,然后把发现的漏洞转送至相应资产运维人员;
 
  (2) 漏洞处理阶段由运维人员进行,针对漏洞做出相应操作;
 
  接受风险是运维人员根据实际情况进行判断,如业务影响情况、资产重要性等,运维人员可以手工把漏洞状态在待修复和接受风险之间进行转换。
 
  单次忽略即为本次扫描忽略这个漏洞,但下次扫描还会扫出此漏洞,永久忽略即为以后永远忽略这个漏洞,除非人工进行漏洞转态转移到发现里面。
 
  (3) 漏洞验证阶段为安全人员和运维人员相互配合;
 
  当运维人员把待修复漏洞转换到已修复转态,安全人员必须要对漏洞修复情况进行复查,如果再次扫描发现漏洞依然存在,则归为修复失败,对于修复失败的漏洞要重新转换到漏洞发现状态。
 
  如果再次扫描漏洞不存在,则归为已验证状态,同时如果后期多次扫描过程中因为资产本身变化导致漏洞复现,漏洞状态转换为再次发现,对于再次发现的漏洞要及时转至待修复状态。
 
  (4) 在漏洞发现到漏洞修复的流程转换过程中,必须有领导决策人员知晓,以达到监督漏洞管理流程正常有效运转的目的;
 
  (5) 同时定期输出漏洞修复情况报告给到领导决策人员,使其了解企业漏洞管理现状。
 
  (6) 针对漏洞修复的各个转态转换进行追踪审计,记录修复时间、处理人员和处理反馈等。
 
  3. 漏洞修复量化
 
  在漏洞修复工作中把企业内部各部门或子公司做为一个漏洞修复统计对象,通过定期对修复成果进行统计,如修复漏洞数、修复漏洞耗时、修复漏洞成功率等,通过漏洞管理平台做统一展示、企业内部定期通报甚至或者引入绩效体系,利用漏洞修复量化的这样理念来提高漏洞修复人员的积极性,同时利用漏洞修复量化的方式使得企业管理者能清楚的了解当前漏洞管理状况,为漏洞管理的决策工作提供更好的依据。
 
  4. 漏洞修复知识库
 
  漏洞修复知识库的建立,一方面是为运维人员提供一个全面、权威和有效的漏洞修复指导方案库;另一方面也是保证漏洞修复工作能更有效进行,减少漏洞修复的失败率。漏洞知识库建立可以考虑三个方面入手,一是参考漏洞扫描设备的标准解决方案作为基础;二是利用多方威胁情报数据,录入更多的解决方案作为参考;三是人工定期整理已验证过的漏洞修复方案作为权威标准方案。

第二十八届CIO班招生
法国布雷斯特商学院MBA班招生
法国布雷斯特商学院硕士班招生
作者:grabsun - 发布时间:2018-11-22 - 点击量:12012
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们