常聽到主機弱掃完後,因為規範要求中高風險以上期限內修補
系統維護人員
升級會不會影響其他程式,我這台主機無法重開機阿。
設備需要重開機嗎,可是我服務不能中斷
資安人員
這個漏洞超嚴重,可以遠端程式碼執行,可能會造成&$^@%$%.....
雙方想法都是對的,然而為什麼會產生爭執呢因為雙方不了解對方狀況
管理員覺得資安一直再找麻煩,有XX防護不會有風險在
資安人員不能確保是否風險被消除了,因此要求強化控制
這是第一個最常見的問題,雙方認知落差&站在自己角度看
使用者覺得很安全,但是在他認知之外有其他漏洞管道
資安人員覺得不安全,但其實在其他層防護已經防堵該問題產生
不論找相關文章及詢問ChatGPT都會得到類似的回答
弱點評估:
評估弱點的重要性:對於每個弱點,評估其可能的風險影響。使用一個風險評估矩陣或評分系統,將弱點分為高、中、低風險等級。
漏洞評分:利用常見的漏洞評分系統,例如CVSS (Common Vulnerability Scoring System),為每個弱點分配數值,以衡量其嚴重性。
環境控制補償評估:
評估現有的安全措施:確定您的環境中是否已經存在一些安全措施,例如防火牆、入侵檢測系統 (IDS)、終端點檢測與韌體 (EDR) 等。評估它們是否足以應對已識別的弱點。
評估環境的關鍵性:考慮到您的環境中的資產和業務流程,評估在弱點被利用時可能造成的損害。
風險評估:
綜合風險評估:將弱點的風險重要性和漏洞評分考慮在內,進行綜合風險評估,以確定哪些弱點應該優先處理。
風險應對策略:根據風險評估,確定採取的應對策略,例如修補、移除、隔離等。
風險降低措施:
優先順序:根據風險評估的結果,優先處理高風險的弱點。
環境控制改進:如果弱點可能通過升級或調整現有的環境控制來緩解,則執行這些改進。
風險管理計劃:制定一個風險管理計劃,以便有效地處理弱點修補,包括在產線停擺風險方面的計劃。
風險監控和管理:
持續監控:持續監控已修補的弱點,確保風險被降至可接受的水平。
更新風險評估:定期更新風險評估,以反映新的弱點和環境變化。
溝通和文件:
與相關方溝通:與相關的管理層、IT團隊和其他相關方進行溝通,確保他們了解弱點評估和修補計劃。
文件:儲存所有風險評估、修補計劃和實施細節的文件
以及相關參考
NIST SP 800-30 Rev. 1 - Risk Management Framework (RMF) for Information Systems and Organizations:
這份文件提供了有關風險管理框架的指導,包括風險評估、風險處理和風險監控等方面的指南。它可以幫助組織確定和評估風險,並建立適當的安全控制措施。
NIST SP 800-53 Rev. 5 - Security and Privacy Controls for Federal Information Systems and Organizations:
這份文件包含了一個廣泛的安全控制目錄,可用於保護信息系統和組織。它提供了有關各種安全控制的詳細信息,可作為實施弱點管理和風險評估的參考。
NIST SP 800-137 - Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations:
這份文件涵蓋了持續監控的原則和實踐,以確保信息系統的安全性。持續監控是評估和管理風險的關鍵元素,可用於發現和應對弱點。
NIST SP 800-40 Rev. 3 - Guide to Enterprise Patch Management Technologies:
這份指南提供了有關企業級補丁管理技術的指導,包括弱點識別、評估和補丁應用的最佳實踐。
NIST Cybersecurity Framework (CSF):
NIST還發布了一個名為"CSF"的框架,它提供了一種組織可以使用的方法,來評估和改進其資訊安全風險管理和弱點管理程序。
貼了這些參考後還是會被問到
解法有以下幾種方式,隨著公司文化、公司規模、公司產業有不同做法
修補之間的溝通協商爭執是難免的,在還沒改善環境時建議多收集資訊,從其他面向看看問題。
iThome鐵人賽
看影片追技術