构建高效漏洞生命周期管理流程的4个典型框架
个性化、复杂性流程正在制约漏洞管理能力
当前,漏洞管理已成为网络安全管理不可或缺的手段,其生命周期闭环管理运营流程的优劣性直接影响漏洞管理能力。而不同组织的漏洞生命周期管理流程充满了个性化、复杂性的特点。
首先,国家/行业/区域漏洞管理、漏洞公开披露、众测漏洞管理、常规安全运维中的漏洞管理、应用安全漏洞管理、DevSecOps漏洞管理、供应链漏洞管理、安全加固服务外包漏洞管理等不同场景中,出发点、管理对象、工作内容、侧重点有差异,且不同组织可能会交叉存在多个管理场景。其次,不同组织企业文化、管理方式、技术能力的不同也是造成个性化、复杂性的重要因素。
兼容并蓄,降低流程个性化、复杂性程度
如何构建贴合组织实际情况的管理流程,并能够在运行过程中持续优化和提升成为挑战。方法就是借鉴和吸收通用性框架,逐步降低个性化、复杂性程度。
纵观业内众多的各类漏洞管理流程通用性框架,摄星科技结合多年为国家监管、行业监管、重要关基企业、安全运维外包服务商提供漏洞管理流程建设服务经验,选取有代表性的、可借鉴性强的四个典型框架进行分享。这四个框架各有其侧重点、适用范围,用户可根据自身实际需求取其精华,兼容并蓄,形成贴合自身的运营流程。
01 《信息安全技术 网络安全漏洞管理规范》
《信息安全技术 网络安全漏洞管理规范》(GBT30276-2020)适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织等开展的网络安全漏洞管理活动,其适用对象较广。
规定了网络安全漏洞管理流程各阶段(包括漏洞发现和报告、接收、验证、处置、发布、跟踪)的管理流程、管理要求以及证实方法。
所定义的流程和阶段如下:
02 CISA网络安全事件及漏洞响应手册
CISA网络安全事件及漏洞响应手册用以改善和标准化美联邦机构识别、修复漏洞,以及从网络安全事件和漏洞事件中恢复的方法。
响应手册定义的漏洞管理流程如下,包括识别、评估、修复和报告漏洞四个阶段。
CISA认为,确定漏洞响应优先级并保护自己不受损害的最直接有效的方法之一就是关注那些已经被积极在野利用的漏洞。为此,专门建立了CISA已知被积极利用漏洞目录(Known Expolited vulnerabilities calalog)。摄星科技已同步在官网发布“关键漏洞目录”。
流程规范了应对紧急和高优先级漏洞时应遵循的高级进程。它不是现有漏洞管理程序的替代品,而是建立在现有漏洞管理实践的基础上。
03 OWASP漏洞管理指南
OWASP漏洞管理指南的目标是通过将复杂的漏洞管理问题分解为更易于管理的可重复动作(检测、报告和修复)。侧重于在漏洞生命周期中构建可重复的过程。
OVMG实施时,建议从“小”开始,然后在“生命周期”中逐步细化每个任务和子任务。使业务通过漏洞管理计划的实施而变得更具弹性。
OVMG的管理流程由检测(Detection)、报告(Reporting)、修复(Remediation)三个闭环组成。
每个闭环包含四个主要流程。每个流程都是一个包含待办事项的任务列表。所有任务都有“输入”和“输出”。
漏洞管理的周期性意味着持续的流程改进,单个流程如何融入其它流程、任务如何跨三个闭环相互关联对流程建立和改进至关重要。
检测闭环(Detection Cycle )
检测闭环定义了谁、时间、地点、原因和方式执行漏洞测试的任务。
检测闭环包含的流程、目标、任务列表如下:
报告闭环(Reporting Cycle )
报告闭环的目标是帮助组织以可衡量的方式了解漏洞。侧重于学习、分类和创建组织性、有意义的指标,这些指标将成为漏洞管理报告的基础。
报告闭环包含的流程、目标、任务列表如下:
修复闭环(Remediation Cycle)
修复闭环的目标是减少或消除修复漏洞的工作,或提供证据说明特定漏洞不是威胁的原因。侧重于确定修复工作的优先事项和条款,讨论和记录误报,以及处理异常情况。
修复闭环包含的流程、目标、任务列表如下:
04 SANS漏洞管理成熟度模型
敏捷开发、DevOps、云技术和虚拟化使组织能够以极快的速度构建和部署系统。同时,陈旧繁琐的安全性和合规性测试方法无法跟上新技术发展。因此,漏洞管理人员需要了解并使用开发人员和工程师正在使用的相同工具和技术,能够快速且经常性的生成测试结果,从而不会影响整个组织业务发展的速度。
大多数大型组织面临的突出问题是漏洞数量巨大,所有组织都在努力应对基础架构和应用程序中层出不穷的新漏洞。当以越来越快的速度向内部和外部客户提供系统、应用程序和功能时,安全性也应得到切实保障。
SANS漏洞管理成熟度模型提供了流程、成熟度级别划分,资产、漏洞、威胁的上下文信息以及关键度量指标(Key Metrics)。可参考此模型来完善漏洞管理程序。
SANS漏洞管理成熟度模型将生命周期管理流程分为准备(Prepare)、识别(Identify)、分析(Analyze)、交流(Communicate)、处置(Treat)五个环节。每个环节又划分为Initial(Level 1)、Managed(Level 2)、Defined(Level 3)、Quantitatively Managed(Level 4)、Optimizing(Level 5)五个成熟度级别。