近日,《網絡產品安全漏洞管理規定》的出臺引起了業界的熱議,《規定》對網絡產品安全漏洞發現、報告、修補和發布等行為進行規范,以防范網絡安全風險。

那么,針對漏洞管理,企業應當如何做好漏洞及安全風險評估工作呢? 很多企業直到成為網絡攻擊的受害者,方知網絡安全的重要性,但已為時已晚,危害已經產生。

那么在此之前,企業能夠做哪些工作才能避免此類安全問題的再次發生?

當然,企業能夠做的工作有很多,其中針對各類設備的漏洞管理,評估設備的安全狀況是保護企業數據和網絡安全的重要部分。

漏洞管理有了制度約束

近日,為了規范網絡產品安全漏洞發現、報告、修補和發布等行為,防范網絡安全風險,工業和信息化部、國家互聯網信息辦公室、公安部聯合印發《網絡產品安全漏洞管理規定》,對在我國的網絡產品(含硬件、軟件)提供者和網絡運營者,以及從事網絡產品安全漏洞發現、收集、發布等活動的組織或者個人進行了制度約束。

《規定》自2021年9月1日起施行�！兑幎ā返陌l布在網絡安全界引起了廣泛關注和熱議,相關專家表示《規定》對于維護國家網絡安全,保護網絡產品和重要網絡系統的安全穩定運行,具有重大意義。

奇安信集團副總裁、補天漏洞響應平臺主任張卓認為,《規定》釋放了一個重要信號:我國將首次以產品視角來管理漏洞,通過對網絡產品漏洞的收集、研判、追蹤、溯源,立足于供應鏈全鏈條,對網絡產品進行全周期的漏洞風險跟蹤。

廠商和運營者不能隱瞞漏洞、拒絕漏洞、否認漏洞,必須要積極承認、積極通報、積極報告、積極修復和處理、積極通知生態環境。

廠商要積極開通接受漏洞信息的渠道、留存信息、確保及時修復、及時評估通知上下游、及時向官方通報、及時升級通報技術問題等。

網絡產品安全漏洞管理有了制度的規范,不管是網絡產品的提供者和網絡運營者,或是從事網絡產品安全漏洞活動的組織或者個人,對于其他企業來說,針對漏洞的管理,做好漏洞評估,也是防范安全風險的重要手段。

針對漏洞評估   企業能做什么?

對于企業而言,及時發現自身設備及網絡的安全漏洞,是進行安全防護的重要前提。

設備及系統日志、操作更改和攻擊報告數據等信息通常能夠顯示出安全威脅的蛛絲馬跡,同時也能夠為漏洞管理和修復提供一些線索。

當然,與其被動響應,不如尋找更為主動的方法。比如定期對網絡設備和服務進行漏洞評估,以獲取有關潛在的問題、嚴重程度,以及需要采取的措施。

但需要悉知,有些工作并不只是企業自己的事情,還涉及其他上下游供應商或合作伙伴等,因此在進行一些安全操作或滲透測試工作之前,可能會產生關于財務、合規等方面的影響,需要與企業的各個利益相關者進行協商。

以下措施或許能夠幫助到進行漏洞評估的企業。

1．與利益相關者溝通  

在進行漏洞評估時,很多人認為掃描過程是其中最重要的部分,但有時并非如此。

與利益相關者進行及時有效的溝通協商也是關鍵。利益相關者不僅包括上下游供應鏈及合作伙伴,還包括企業內部諸如管理者、IT 部門成員,甚至是人力資源部門等。

2．確定安全評估的范圍和規模  

在確定了利益相關者之后,所有成員必須通過協作確定安全評估的范圍和規模,包括設備、網絡、服務或其他。

此外,在漏洞掃描時,需要確定掃描的內容、時間和方式,包括有關何時應進行掃描的信息以及要排除的資產,因為這些評估工作有可能會影響到其他網絡和資源的正常使用,應盡量減少負面影響,并保持業務連續性。

3．收集目標信息  

在規則建立和范圍確定后,確定滲透測試類型——白盒、灰盒或黑盒測試。

如果還沒有得到任何安全信息,不妨從信息收集階段開始,使用專業安全工具對運行的設備、網絡和端口執行掃描,繪制測試環境的圖景,以深入了解目標設備上運行的應用和服務。

4．進行評估  

針對漏洞評估,使用什么工具,如何配置它們以及如何執行評估過程因人而異。因此,根據規則來配置工具非常重要。

此外,還應當避免因主動配置掃描操作可能對系統造成的損害。

5． 關聯數據 

各種安全工具種類繁多,產生的安全數據也浩如煙海,如果不能將這些數據相關聯到一起,那么將沒有任何意義。

關聯安全數據有助于更為清晰地識別哪些是最重要的威脅。

但在關聯數據并形成安全報告之前,不要過早地將它們分享給利益相關者,必須對測試結果進行驗證并確認為正確后方可。

應根據目標受眾來確定安全報告的分級分層。例如,針對企業高層管理人員,需要形成基于優先級項目的摘要視圖,從高威脅類別項目開始。

而針對IT 和安全專業人員,需要形成更詳細的安全報告,包括受影響系統以及具體的安全措施。

6．根據報告數據進行風險評估 

在評估、驗證并生成報告后,企業應會同利益相關者對存在漏洞的設備進行風險評估,確定解決問題的方式(緩解),哪些受影響的設備可以正常運行(隔離),哪些需要立即停止運行(阻斷),或實施第三方安全解決方案來替換現有解決方案(轉移)。

每個系統都應當有針對性的一套威脅評估方法。同樣,為了最大限度地降低風險并優化響應時間,應制定明確的行動計劃,并詳細說明快速有效地解決評估項目并確保設備安全的步驟。

7．實施修復 

在完成評估并形成報告后,現在可以開始針對報告結果進行補救措施。

應首先解決高優先級威脅,然后是中優先級威脅,最后是低優先級威脅。在補救環節,應非常小心地驗證漏洞是否得到解決。

可以通過重新運行軟件,或者再次執行測試操作來進行確認,還要評估是否可能出現遺留問題或其他問題。

8．形成定期的制度  

漏洞評估應作為企業的一項持續性工作而定期開展,重點是為企業高級別的網絡設備和服務的安全狀態。

必要時還需要上升到企業戰略層面,專門制定安全評估政策,以確保評估工作的正常開展。

以上措施只是參考。隨著更多安全法律法規以及行業性規范的出臺,安全合規正成為企業發展的重大挑戰。

網絡安全上升到國家戰略層面的同時,企業也是時候將網絡安全上升到企業發展戰略層面。重視漏洞管理,做好漏洞評估,將為企業網絡安全建設帶來事半功倍的效果。