漏洞管理方法--ISO27001及ISO27002
发布时间:2020-06-13 作者:广汇联合 来源:广汇联合
您一定遇到过,系统正常运行得好好地突然无缘无故变得很慢或近乎停止运行。IT人员奋战数小时使所有系统恢复在线正常运行。最后IT人员发现事件的根本原因在于信息系统中存在缺陷。该缺陷可能会被蓄意或无意地利用,导致系统故障。
这种情况再平常不过了,有时候会导致更严重的后果:数据丢失或被窃取,且造成运营损失,中断业务。那如何处理以上情况呢?且看下文解说:
漏洞是什么及漏洞如何产生的?
ISO 27000概述了ISO信息安全管理系统及词汇表,规定漏洞为资产或安全措施中存在的可由一个或多个威胁利用的缺陷。同时,ISO 27000将威胁定义为可对系统或组织造成损害的意外事件的可能原因。 因此,若威胁发现可利用的缺陷,就出现了漏洞。然而,缺陷来自何处?一般来说,缺陷是资产或安全措施在设计、实施、配置或运行过程中存在的不足之处。疏忽大意或故意行为均可导致缺陷。有些缺陷很容易识别、纠正和利用,而有些则需要投入时间、精力和资源。
ISO 27001涉及的漏洞管理方法
ISO 27001的A.12.6.1主要通过以下三个步骤进行漏洞管理:
1、及时发现漏洞
越早发现漏洞,你就越有充足时间对其进行修复,至少向厂商上报这一漏洞,这样留给攻击者利用漏洞的时间就越少。
2、对组织的漏洞暴露情况进行评估
某个漏洞或一组漏洞对不同组织的影响可能不尽相同。您需要进行风险评估,找出您的资产和业务的重要漏洞,并对其进行优先级排序。
3、将相关风险考虑在内的合理措施
找出最严重的漏洞后,需考虑采取措施,然后分配资源处理漏洞,也就是说,制定风险应对计划。
最明智的做法是要考虑漏洞的风险等级。
ISO 27002为实现漏洞管理目标提供支持
ISO 27002定义了实现漏洞管理目标的支撑行动,提供实施安全措施(如A.12.6.1)时需考虑的最佳实践。ISO 27002建议采取以下行动:
ISO 27002定义了实现漏洞管理目标的支撑行动,提供实施安全措施(如A.12.6.1)时需考虑的最佳实践。ISO 27002建议采取以下行动:
1、盘点资产
有效的漏洞管理取决于您所掌握的您的信息资产的相关信息,如软件厂商、软件版本,软件安装位置以及每个软件的负责人。
2、明确职责
漏洞管理需进行多项不同活动(如监控、风险评估和纠正等),因此,为方便起见,需明确职责,合理分工,确保对资产进行合理追踪。
3、明确参考资料
您的参考资料列表上应包含厂商站点、专业论坛和特别兴趣小组,从而了解漏洞与修复措施相关的新闻。
4、按照制定的流程处理漏洞
不论漏洞的紧急程度如何,以结构化方式处理漏洞非常重要。处理漏洞时应考虑变更管理或事件响应流程,因为这些流程考虑了漏洞优先级、时间响应和响应升级等方面,指导您该采取哪些行动。
5、做好记录以供事后分析
(事后需进行分析)持续记录所发生的事件以及事件处理过程是非常重要的,因为这样您可以从事件中吸取教训,防止后续类似事件的发生。至少这样做可尽量减轻事件影响,改进漏洞管理流程。此外,确保定期进行评估,尽快改进和修复漏洞。
我们举一个漏洞管理例子:“心脏滴血”漏洞在2014年被发现,可通过加密通信导致信息被窃取。通过阅读资产库中定义的参考资料,组织发现该漏洞可影响一些被视为关键性的资产。通过采用变更管理流程,您可通过补丁部署规划合理的缺陷纠正措施,以加密方式传输信息,安装补丁,将信息泄露风险降至最低。
不要被自己的防护措施中的漏洞打败。由于市场需要更快速的软件交付及更多特性,将会有更多漏洞出现。因此,为确保您的信息资产安全、维护企业形象以及保持竞争力,制定漏洞发现和处理计划非常重要。您会发现,通过对ISO 27001和27002推荐的漏洞控制措施进行调整,使其与您的业务需求相匹配会省掉很多麻烦和不必要的工作,尽量减小对公司信誉的损失和影响。