1、GTAG6:管理与审计IT漏洞,Group 6,框架,简介 漏洞管理的生命周期 判断一个组织的成熟度 其他,1.1 简介(1),漏洞管理是什么?一个组织用来识别,评估和修正可能导致商业和安全风险的漏洞的过程和技术。 实现有效率的漏洞管理的关键点是什么?组织必须建立一个检测,评估与规避漏洞的流程,使这些工作与整体的IT流程框架相结合。 漏洞管理是否只是需要技术上的实现?并非如此。最大的挑战往往来自于如何激励个人,从而推动高效的流程。,本章将会帮助读者了解下列内容: 1.了解漏洞管理流程 2.能够鉴别高效率与低效率组织。 3.熟悉一个典型的进化流程:从以技术为导向,到以风险为导向的,到以IT流程为
2、导向的。 4.为IT管理人员提供有关漏洞管理的向导。 5.使你能够更好的向高层管理人员提供你的建议。,1.2简介(2),为什么管理IT漏洞如此重要?IT漏洞十分普遍,每天有12个新的IT漏洞被发现。IT漏洞包括密码管理的缺乏,不合适的文件权限,薄弱的密码控制与未调试好的应用程序。 糟糕的漏洞管理流程有哪些特征?(1)一段时间内出现高于常规可接受数量的安全事件。(2)由于未能系统性识别信息技术漏洞而导致关键资产暴露。(3)未能完整评估与每一个漏洞相联系的风险,未能优化漏洞规避活动。(4)由于信息技术管理与信息技术安全未能衔接好,导致无法良好控制和变更电脑资产。(5)缺少资产管理系统。(6)缺少一
3、个能和弱点规避系统相协调的配置管理流程。,如何有步骤的改进漏洞管理?(1)获取来自执行管理层的支持来识别和修正信息技术漏洞,并保证这样的流程与组织本身对于风险的容忍程度相一致。(2)获取一份对所有IT资产与其漏洞的清单。(3)优化与商业风险相关的补救措施。(4)通过向IT管理人员递交计划好的工作项目来修正漏洞。(5)定时更新资产目录,漏洞测试与修正过程。(6)将自动化补丁管理与漏洞侦测技术运用到极致。,内部审计师应当如何协助组织建立良好的漏洞管理系统?1.内部审计师需要评估用来防范,侦测与规避过去的攻击与未来可能发生不利事件的流程的有效性,并确保董事会已经被告知所有重要的威胁,事件,漏洞与相应
4、措施。2.内部审计师需要协助IT管理人员识别可能的安全隐患和事故以满足内部管理需求与相关法律法规的要求,并且能提升他们对于漏洞管理的重视。对于IT安全管理流程未能正确识别和处理的事件,内部审计师同样需要加以识别.,为什么漏洞管理必须与整个组织的其他管理系统整合?随着漏洞数量增加,对于从发现漏洞到立即解决流程的成功执行是确保对组织正常运营的保证。而这样的执行只有通过各系统之间的整合来做到。这样的整合可以确保组织在面对错综复杂的IT资产变更与优化管理时游刃有余。,内部审计师在漏洞管理环节上的工作范围,2.1漏洞管理的生命周期-综述,漏洞管理的生命周期4大步骤,识别与确认 风险评估与优化 补救 持续
5、改进,2.2 识别与确认,系统范围:如何确保管理人员能界定系统的合适的范围?审计师必须获得一份组织中整个网络分区的列表,例如有线和无线网络,生产网络,备用和行政网络,传输网络,实验室和测试网络以及远程办公室等。另外,最好还有一份能够显示不同网络之间联系网的图表。,检测漏洞:哪些IT资产需要被定期扫描或监控?何谓扫描?何谓监控?所有连接到每一个网络分块的IT分块都需要被定期扫描或监控,包括商业应用服务器设备,安全设备,通讯设备,网络设备以及打印机。所谓扫描,是指用来自动监控其他应用程序和IT资产弱点的网络设备或专门化程序所执行的流程。所谓监控,是指安装在IT资产上的用来报告配置信息的软件所执行的
6、流程。它同样指一直监听网络交通,报告或有选择的屏蔽可能造成漏洞的恶意网络交通的网络设备所执行的流程。 证实发现:为什么需要去证实?尽管漏洞扫描和监控的精确度和复杂度已经足够好,但它们依然不是万能的。有两种错误难以避免:漏报(false negative)与误报(false positive).,2.3 风险评估与优化,风险评估:组织如何处理大量的可疑漏洞?什么情况下的漏洞不需要立即的补救?这样的情况下,还有什么必须的步骤要做?尽管有些时候不需要执行完整的风险管理项目,但组织在面对大量的漏洞时必须执行大量的微风险评估。组织必须根据事先确定的可接受水平来确定不需要立即补救的漏洞来减少工作量(例如已
7、有的安全控制已足够避免被攻击或被攻击的IT资产价值不高)组织必须批准与完整记录可接受的风险以避免重复评估。,优化漏洞:组织应该根据哪些标准来确定漏洞补救的优先顺序?组织为什么需要回顾过去出现漏洞的原因?组织应当根据有漏洞资产的关键性,攻击的频率和可能性,3.补救,规避关键漏洞:什么是故障通知单系统? 建立一个漏洞规避流程:组织如何同时面对数以千计的漏洞?一个有效地漏洞管理项目的成功的关键取决于哪两点?,4.持续改进,停止漏洞继续传播:为什么漏洞被解决后需要通告其他部门? 使用操作级别协议来设置期望值:为什么一个有效地漏洞补救系统往往复杂而冗长?OLA的出现对于漏洞管理有什么意义? 借助自动化实现效率: 以史为鉴,组织成熟度,低效率组织和高效率组织在生命循环中各有什么特征?,
