3.4 策略和信息流
任何合规或安全倡议都必须有策略支撑。这并不是有关策略的效用或创建过程的问题,而是策略的定义。我们特别关注为了完成从业务目标到漏洞修复的一系列文档链而需要的各类策略。
3.4.1 现行策略
现有的安全策略应当充分覆盖实际操作中存在的软件和可接受使用未授权的现象。漏洞管理系统很可能会发现这种类似的违规现象将不止一次的出现。如果安全策略规定了违规检测必须采用的方法,就有必要对这些策略进行一些修改。类似于前一章节漏洞管理计划和组织中的例子,操作经验将以一种自适应的、循环的方式反馈给策略。如果“可接收使用”具有优先权,则需要确保有一个支撑过程来应对新发现。
此外,漏洞管理系统自身也可被看做是一个策略的违反。请确认漏洞管理系统的使用符合授权的IT或安全系统的任何策略规定。例如,考虑这样一种情况,漏洞管理系统发现某个员工严重违反了公司策略,于是解聘了这个员工。而该员工的律师紧接着发现,漏洞管理系统自身就违反了公司的策略,那么公司将可能会在司法审判中被判处严重的责任。
3.4.2 新策略
有时为了强制实施修复活动,漏洞管理合规策略是必需的。在公司里,指导IT管理者规范化的提升漏洞修复优先级的政策是很有用的。策略应当提供如下信息:
漏洞优先级:发现的漏洞需要标注优先级。在很多情况下,一段时间内所发现的漏洞要比能被修复的漏洞多。因此需指定哪些漏洞应优先被修复。甚至需要制定一条策略,声明在哪种情况下,系统管理员应该立刻终止手头正在做的所有事情,转而去修复或关闭有问题的系统。
资产评估:每个系统都是公司的一项资产,应当被估价,以作为标注优先级的依据。我们将在第6章中对这一点展开更多的讨论。
时间限制:根据漏洞严重性和漏洞类型,需设置漏洞修复的时间限制。这实际上就是一个公司的SLA。需要基于多种标准来考虑组织的风险和威胁。这些标准可能是一些支撑标准。
- 使用策略
另一项重要的策略类型是关于风险管理系统自身使用的。该策略应该将关键性操作的一些限制条件作为重点内容。需要限制的方面如下:
免于扫描的系统类型:包括已知会受到扫描带来不利影响的其他安全设备或关键网络设备。
获得扫描许可的操作要求:必须取得系统所有者和/或管理员的同意才能执行扫描操作。
SLA参数:这项要求具体说明了在对特定网络或群体目标进行扫描时需要指定的扫描参数。包括时间、带宽限制、扫描影响评估、扫描终止请求响应时间等。这些参数对于维持漏洞扫描者与系统所有者之间良好的关系具有重要的作用。如果扫描干扰了系统及其操作环境,系统所有者即使之前允许进行扫描,在执行中也可能会要求停止继续扫描。
- 所有权和责任
一旦证明系统对于自身在管理企业关键业务的管理具有重大作用,接下来就应该考虑“谁来负责安排扫描时间表”、“谁来决定扫描对象、扫描时间”等问题。由于这些攻击性行为都有可能给系统带来危害,这些问题的提出都是合理的。避免在此类问题上产生争执的最好方法就是事先做好决定。但要注意清晰性,含糊不清是流程最大的敌人。
建立清晰的所有权描述的第一步是将其写入策略中。流程中的关键职能应当在名称上就清晰指定。至少需要如下职能:
扫描参数定义:扫描使用的业务和技术参数必须被定义且小心控制。其他人可能会参与扫描过程,而不经意的参数改动可能导致主机或整个网络陷入瘫痪。
扫描日程安排:制定扫描日程要经过周密的思考。谨慎对待扫描日程。日程和参数一样,一个小小的改动就可能对业务运行造成重大冲击。
报告发布:漏洞报告是机密数据。在心术不正的人手里,这些报告可能带来巨大危害。黑客、别有用心的人或心怀不满的员工,都可能利用漏洞报告制造麻烦。
本地主机修复:当一台主机不能通过企业主机管理工具打补丁或修复时,需要通过当地管理员或其他合适的人来修复。
远程修复:与本地主机活动相反,远程修复工具通过网络来修复主机。一项修复工作由一个或多个组织负责。例如,PC小组可能负责为通用主机打补丁,安全小组可能要负责反病毒软件和加密程序的升级。所有这些组织都必须事先明确为VM流程开发的积极参与者和贡献者。
3.4.3 合规和统辖
为进行良好的管理,需要有人来监控修复的过程。在一个拥有将近10 000台主机的组织中,修复过程的监控者由负责扫描的人来担任就可以了。但是,在一个更大的组织里,最好有一个合规团队来执行这项工作。此外,合规团队应该定期监控系统配置和操作。
图3-3展示了合规管理组织如何使用现有的操作文档、过程文档,以及扫描结果,来验证修复过程是否合规。这三份数据之间存在重要的关系。操作文档告诉合规团队漏洞管理小组所采取的行动。合规小组应当验证漏洞管理活动的执行是否符合策略要求。
过程文档清晰地定义了执行漏洞管理功能的细节。正是通过该文档,合规功能可以验证操作行为和支持输出文档。过程文档自身也应该进行核查,看是否违反政策,以确保合规。某些合规检测中,该步骤不是必须的,因为合规已成为创建漏洞管理过程的一部分。在此情况下,外部审计有时候能够会起到保障作用。
最终,在漏洞扫描报告中产生详尽的扫描结果数据。这些报告反映了每个负责修复的IT团队所达到的合规等级。稍后,我们将详细讨论这些报告中的内容以及它们在成熟的、成功的漏洞管理系统中的相关性。
系统审计
漏洞管理过程中,另一个关键的步骤是审计。在安全机制的年度审核中,最好由第三方来核查系统的配置和操作是有利的。任何审计都应该包括如下要素:
流程:审计员应当核查扫描、修复、验证这个过程中没有关键错误。审计员应该提供改进建议。
范围:理解现有网络分段的结构和应用后,审计员必须验证完整、合适的目标集合已经被扫描。根据程序章程和策略,目标机列表中可以包括供应商和商业伙伴。除了现有目标之外,很重要的是认识到组织、系统和网络是动态的。环境的改变将导致扫描目标的范围变化。扫描器的流程和配置应当充分适应这一变化的环境。
培训操作人员:操作人员必须非常了解系统的技术细节。他们不仅要理解操作过程,还要了解漏洞的工作原理,漏洞带来的威胁,以及威胁可能造成的风险。如果有操作系统、网络、协议,以及各种相关应用的知识则更好。
策略调整:漏洞管理操作符合现在的策略吗?如我们在前面讨论过的,漏洞管理流程来源于策略,策略来源于程序章程或业务目标。随着时间的推进,策略可能会变得不再满足程序的需求。这不是由于疏忽,而是由于人们处于不断调整以适应环境变化的自然趋势中,没能全面照顾到对程序章程的影响。
在响应业务环境的不断变化中,网络环境和系统环境也在逐渐地发生变化,于是原先的策略变得不再能反应业务需求。例如,以往产品销售是面对面进行的,因此,没有关于合理加密或处理顾客财务数据的策略。后来,人们开拓了网络市场。现行的策略规定电子支付数据必须通过银行实现转账而不能由公司系统处理。但是,在最近被采纳的在线销售模型中,顾客提供的支付信息是由公司计算机系统处理的。现在,大量漏洞和合规问题出现在加密方面,网络设计和系统配置中。由于策略一直未被修正,难以发现和修复这些系统中的合规问题。所讨论的系统可能超出了漏洞管理的范围。