iT邦幫忙

2023 iThome 鐵人賽

DAY 5
0

說明

常聽到主機弱掃完後,因為規範要求中高風險以上期限內修補

系統維護人員
升級會不會影響其他程式,我這台主機無法重開機阿。
設備需要重開機嗎,可是我服務不能中斷

資安人員
這個漏洞超嚴重,可以遠端程式碼執行,可能會造成&$^@%$%.....

雙方想法都是對的,然而為什麼會產生爭執呢
因為雙方不了解對方狀況

  • 管理員覺得資安一直再找麻煩,有XX防護不會有風險在

  • 資安人員不能確保是否風險被消除了,因此要求強化控制

這是第一個最常見的問題,雙方認知落差&站在自己角度看

  • 使用者覺得很安全,但是在他認知之外有其他漏洞管道

  • 資安人員覺得不安全,但其實在其他層防護已經防堵該問題產生

方式

不論找相關文章及詢問ChatGPT都會得到類似的回答

弱點評估:

評估弱點的重要性:對於每個弱點,評估其可能的風險影響。使用一個風險評估矩陣或評分系統,將弱點分為高、中、低風險等級。
漏洞評分:利用常見的漏洞評分系統,例如CVSS (Common Vulnerability Scoring System),為每個弱點分配數值,以衡量其嚴重性。
環境控制補償評估:

評估現有的安全措施:確定您的環境中是否已經存在一些安全措施,例如防火牆、入侵檢測系統 (IDS)、終端點檢測與韌體 (EDR) 等。評估它們是否足以應對已識別的弱點。
評估環境的關鍵性:考慮到您的環境中的資產和業務流程,評估在弱點被利用時可能造成的損害。
風險評估:

綜合風險評估:將弱點的風險重要性和漏洞評分考慮在內,進行綜合風險評估,以確定哪些弱點應該優先處理。
風險應對策略:根據風險評估,確定採取的應對策略,例如修補、移除、隔離等。
風險降低措施:

優先順序:根據風險評估的結果,優先處理高風險的弱點。
環境控制改進:如果弱點可能通過升級或調整現有的環境控制來緩解,則執行這些改進。
風險管理計劃:制定一個風險管理計劃,以便有效地處理弱點修補,包括在產線停擺風險方面的計劃。
風險監控和管理:

持續監控:持續監控已修補的弱點,確保風險被降至可接受的水平。
更新風險評估:定期更新風險評估,以反映新的弱點和環境變化。
溝通和文件:

與相關方溝通:與相關的管理層、IT團隊和其他相關方進行溝通,確保他們了解弱點評估和修補計劃。
文件:儲存所有風險評估、修補計劃和實施細節的文件

以及相關參考

NIST SP 800-30 Rev. 1 - Risk Management Framework (RMF) for Information Systems and Organizations:
這份文件提供了有關風險管理框架的指導,包括風險評估、風險處理和風險監控等方面的指南。它可以幫助組織確定和評估風險,並建立適當的安全控制措施。

NIST SP 800-53 Rev. 5 - Security and Privacy Controls for Federal Information Systems and Organizations:
這份文件包含了一個廣泛的安全控制目錄,可用於保護信息系統和組織。它提供了有關各種安全控制的詳細信息,可作為實施弱點管理和風險評估的參考。

NIST SP 800-137 - Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations:
這份文件涵蓋了持續監控的原則和實踐,以確保信息系統的安全性。持續監控是評估和管理風險的關鍵元素,可用於發現和應對弱點。

NIST SP 800-40 Rev. 3 - Guide to Enterprise Patch Management Technologies:
這份指南提供了有關企業級補丁管理技術的指導,包括弱點識別、評估和補丁應用的最佳實踐。

NIST Cybersecurity Framework (CSF):
NIST還發布了一個名為"CSF"的框架,它提供了一種組織可以使用的方法,來評估和改進其資訊安全風險管理和弱點管理程序。

貼了這些參考後還是會被問到

  • 道理我們都懂,可是怎麼執行
  • 我只想要知道高中低三個等級,高的立刻處理,中的排時間處理,低的不處理
  • 一台主機掃出一百個漏洞,一千台主機十萬個漏洞,只有一個人,沒辦法一個個協商評估
  • 我這漏洞修下去,公司營運可能會死,比駭客打進來還嚴重
  • 這不是漏洞,這是功能,你自己看著辦

小結

解法有以下幾種方式,隨著公司文化、公司規模、公司產業有不同做法

  • 更改架構(備援、容器化、雲端) > 減少停機風險、更容易轉換版本、轉嫁讓廠商處理
  • 購買虛擬修補等解決方案
  • 增加人力、定規範讓相關人員強制執行
  • 要更多的預算(支持上述做法)

修補之間的溝通協商爭執是難免的,在還沒改善環境時建議多收集資訊,從其他面向看看問題。


上一篇
4. 情資收集-看一下周邊發生什麼事
下一篇
6. 弱點處理- 等級判斷
系列文
珍惜生命,遠離資安 - 避免不良的資安作法,專注重要事項33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言