降低漏洞風險的六大法寶
責編:admin |2015-01-19 15:17:20毫無疑問,有效的漏洞修復是信息安全整體策略中很重要的一環。個人計算機、服務器、筆記本電腦和通信基礎設施中的漏洞,往往為入侵者所利用。舉個例子:惡意軟件Chthonic就是通過利用微軟Office軟件漏洞(CVE-2014-176)盜取銀行賬戶信息。
漏洞修復說起來簡單,部署工具找尋漏洞相對而言也很簡單,但要在一個具體組織里實現成功有效的漏洞風險防范策略卻不那么簡單。
下面列出六個可以降低漏洞風險的策略。如果你在單位司職信息安全或漏洞管理,可以考慮一下哪套最有效率。世上無完美,當前最有效率的策略才是我們應該關注的重點。
1. 救火隊
策略:事件響應。把漏洞當成事件獨立響應,壓力之下快速修復。
適應癥:你見過拖延癥重度患者嗎?不到最后一刻絕不好好干那種。有些組織與此類似:常規流程很難執行,面對危機才見真章。這種環境下真要做點什么,最好就是給出個嚴格的截止日期。
贊成派:
修復最高優先級的漏洞總比什么都不做要強。
反對黨:
漏洞風險余孽橫行。根據定義,這一策略只針對著名漏洞,給攻擊者留下了大量非著名漏洞的攻擊機會。
沒抓住根本原因。事件響應策略不太可能影響到組織中漏洞激增的根本因素。
可能引發員工倦怠綜合征。此類組織可能受困于此日久,畢竟人長期應對危機終會日漸倦怠。
2. 搭積木
策略:聚焦設備。無論漏洞具體情況如何,找出風險最高的設備,優先修復之。如此循環往復。
適應癥:你的系統所有者只關心設備或設備類型嗎?你能分辯出所屬網絡中大部分資源的擁有者嗎?如果你所在組織圍繞設備設立規范和流程,那這套策略就可能十分有效了。
贊成派:
迭代改善。因為應對的是高風險的設備,你將持續降低設備漏洞風險的平均值,以使最高風險設備保持承受相對較低的漏洞風險。
正反饋循環。系統所有者懶得為單個漏洞疲于奔命,他們會自然而然地尋求批量處理的方法來降低漏洞風險,比如說對設備和應用進行更有效率的更新換代。
反對黨:
資源低效使用。只應對單個設備會忽略掉系統性改善的機會。例如,10個不同的系統擁有者在50個不同系統上給Java打補丁而沒認識到有更好的整體處理Java的方法。
3. 瓦肯邏輯(編者注:嚴謹的邏輯派,不摻雜個人情感,見《星際迷航》,)
策略:聚焦漏洞。給漏洞分級,優先修復最高級漏洞。如此循環往復。
適應癥:你已經部署了有效的工作流系統了嗎?可以簡易地分配任務并跟蹤問效到任務結束?如果你的組織像上好潤滑油的機器一樣運作,那就可以開始著手處理機器的漏洞了。
贊成派:
降低漏洞風險相當有效。一旦能對漏洞分級并修復,終將降低風險。
迭代改善。先把最高風險的漏洞修復了,隨著時間流逝,會逐步降低漏洞風險的。
反對黨:
受限于分級。漏洞不是一次性可以修復完的,所以不得不分級先。選錯重點,漏洞風險將陰魂不散只待利用。
可能撿芝麻丟西瓜。也許你真的很擅長找出并修復單個高風險漏洞,但也有可能錯失進行系統性改進以降低漏洞風險的機會。
4. 蜂巢
策略:集中分析,分散行動。信息安全部門負責對漏洞掃描結果進行分析,并向整個組織提供極具指導性的修復建議。
適應癥:你所在組織依賴清晰的‘上級命令’才能有效運作嗎?信息安全部門在分布式的組織中是集中式的團隊嗎?如果你的組織有一條清晰的命令鏈,那就集中注意力在打造最有效的分析上吧!
贊成派:
系統性降低漏洞風險。一個執行良好的集中式策略可以順利走完多個步驟而不用頻繁地向每個參與者解釋整套計劃。
風險一致性。如果整個組織運作起來,決策就是整個組織級的。執行良好的話,可以成為響應靈敏的信息安全慣例。
反對黨:
最小公分母效應。集中式分析不太會調整為個別執行。整個組織前進的腳步受制于其中最慢的部分。
分析爛,則結果差。高層的一個分析失誤會影響全局,分析不好的情況下也就留下了系統性問題出現的空間。
5. 理事會
策略:分布式分析和執行,集中式跟蹤問效。明確跟蹤整體進度的度量指標,留給組織內各個部門一定的自由度以合適的方式在合適的時間降低漏洞風險。
適應癥:你所在組織的各個部門可以自由決定工作方式么?你是在一個注重指標的組織內工作么?如果你所在組織喜歡獨立自主,喜歡追求結果的工作方式,那就把重點放在指標上努力達成目標吧。
贊成派:
業務主導。選擇對業務真正有用的指標,可促使漏洞風險降低行為有的放矢。
各部門分散執行,可以指標為基礎產生競爭,促進發展。
反對黨:
爛指標,壞結果。萬一定了一堆無關緊要的指標,那各部門就會疲于奔命而不是降低風險。
有競爭,就有墊底。很多組織里,這不是個問題,但它會引發內部沖突。
6. 過程優化器
策略:減小攻擊界面。別管那些漏洞了,關注點放在整體攻擊界面的減小上。可以采取一些激進的措施,如最小權限發放、取消不必要服務和系統等。然后以漏洞風險指標衡量一下這些做法的效果。
適應癥:你的組織不能有效摒棄某些系統嗎?員工總能在系統上安裝任何軟件嗎?如果你組織內部的數字雜波就是它自身最大的威脅,那來個內部大掃除就能剔除主要漏洞風險了。
贊成派:
漏洞風險的急劇降低。因為漏洞常出現在應用程序里,清除那些不需要的應用可以大幅減少漏洞。
防范未知漏洞。如果你已經卸載了某應用程序,那此應用程序的新漏洞也就不能影響你了。
管理良好的環境帶來附帶效益。重點放在配置和減小攻擊界面上通常能建立一個更合理有效的環境,也就能縮減成本、提高效率、增強穩定性。
反對黨:
效用存續期有限。一旦你已經卸載了大部分不必要的應用,也夯實了主要配置,在剩下的必要系統中尋找漏洞也就變得更難了。
高優先級風險空白。如果你聚焦在減小攻擊界面上,就有可能忽視掉關鍵系統中的嚴重漏洞。
如你所見,降低漏洞風險有多種選擇。世上并沒有萬能藥,組織性質不同,適應癥也不同。采用正確的工具可以幫助降低漏洞風險,但知曉自家組織的運作方式才是工具是作為昂貴的產品還是有效的程序的分水嶺。