如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之七:持续的漏洞管理
CIS关键安全控制措施集(CIS Critical Security Controls,CIS Controls)系列介绍文章,本期介绍控制措施07:持续的漏洞管理。
笔者:国际认证信息系统审计师、软考系统分析师
控制措施07:持续的漏洞管理
包含有7个细项,IG1前4项,IG2全7项,IG3全7项。
这7项分别是:
7.1 建立和维护一套漏洞管理流程。为企业资产建立和维护文档化的漏洞管理流程。每年一次,或在发生可能影响此安全措施的重大企业管理变更时复查和更新文档。
7.2 建立和维护一套漏洞修复流程。建立并维护在漏洞修复过程中记录的基于风险本身的修复措施,并每月或更频繁地进行复查。
7.3 执行自动化的操作系统补丁程序管理。通过每月或更频繁地进行自动补丁更新管理,对企业资产执行操作系统补丁更新。
7.4 执行自动的应用软件补丁管理。通过每月或更频繁地进行自动补丁更新管理,对企业资产执行应用软件更新。
7.5 执行对企业内部资产的自动漏洞扫描。每季度或更频繁地对企业内部资产执行自动漏洞扫描。使用符合SCAP的漏洞扫描工具,执行经过身份验证和未经身份验证两种扫描方式。笔者注:开源工具可以考虑Greenbone,即曾经的OpenVAS。建议通过Kali Linux去使用。
7.6 执行对暴露于外界的企业资产的自动漏洞扫描。每月或更频繁地执行扫描,使用兼容SCAP的漏洞扫描工具。
7.7 修复检测到的漏洞。根据修复流程,每月或更频繁地通过流程和工具检测到软件中的漏洞。
所谓“持续的漏洞管理”,需要企业制定计划,持续评估和跟踪企业基础设施中所有企业资产的漏洞,以便纠正和尽量减少攻击者的机会窗口。企业需要持续监控公共和私营网络安全行业的消息来源,以获取新威胁和漏洞的信息。
有大量的漏洞扫描工具可用来评估企业资产的安全配置。一些企业也认为使用了可远程管理的扫描设备的商业服务对此项工作是有效的。
为了帮助标准化整个企业中发现的漏洞的定义,最好使用漏洞扫描工具将漏洞映射到以下一种或多种网络安全行业公认的漏洞、配置和平台分类方案和语言:常见漏洞和暴露(CVE®)、常见配置枚举(CCE)、开放漏洞和评估语言(OVAL®)、常见平台枚举(CPE)、常见漏洞评分系统(CVSS)、可扩展配置清单描述格式(XCCDF)。这些方案和语言都是SCAP的组成部分。
关于SCAP的更多信息可参见:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-126r3.pdf
扫描活动的频率应该随着企业资产多样性的增加而增加。原因是要考虑到每个供应商的不同的补丁周期。高级漏洞扫描工具可以通过配置专用的用户凭据,从而能通过企业资产的身份验证过程,实现更全面的扫描评估。这被称为“经过认证的扫描”。
除了能在全网检查漏洞和错误配置的扫描工具外,多种免费或商业的工具还可以评估企业资产的安全设置和配置。这些工具可以对企业资产配置中未经授权的更改,或管理员无意中引入的安全弱点,提供细粒度的检查视角。
有成效的企业,会将其漏洞扫描工具与跟踪和报告漏洞修复进展的问题票务系统联系起来。这有助于把没有修复的关键漏洞突出给高级管理层获悉,以确保它们得到解决。
企业还可以据此跟踪掌握在确定漏洞情况、发布补丁、修复漏洞等一系列操作所需的时间。这些功能可以支持内部或行业的法规遵从性要求。
一些成熟的企业会在IT安全指导委员会会议上(国内通常是“网络安全和信息化领导小组”之类的内设机构)讨论这些报告。此类会议的目的是将IT和业务领域的管理人员聚集在一起,根据对业务的影响考虑如何安排漏洞修复工作。
在选择要修复哪些漏洞或应用某个补丁时,企业应该参考 NIST 的常见漏洞评分系统(CVSS)的数据,关注攻击者使用该漏洞的可能性或漏洞对企业的潜在影响。要根据最新威胁的信息定期更新漏洞被利用的可能性的信息。
例如,应能基于新漏洞的发布,或与利用漏洞相关的新情报,改变考虑修补漏洞的优先级。
各种商业系统可以允许企业以可伸缩的方式自动执行和维护这个流程。
最有效的漏洞扫描工具,可以将当前扫描的结果与以前的扫描结果进行比较,以确定生产环境中的漏洞是如何随时间变化的。安全人员应月复一月地使用这些功能来归纳漏洞的发展趋势。笔者注:Greenbone(OpenVAS)可以做到这一点。
最后,应该有一个质量保证过程来验证配置更新,或者补丁已正确地覆盖所有相关的企业资产。
本文提及的开源软件:
本站微信订阅号:
本页网址二维码: