不要被自己的漏洞打败 解读ISO27001及ISO27002漏洞管理方法

您一定听说或亲身经历过这样的情况。在一个平常的日子，系统正常运行，但突然无缘无故变得很慢或近乎停止运行。用户支持部门开始接到几十个电话询问原因，IT人员奋战数小时使所有系统恢复在线正常运行。令人欣慰地是，该事件未造成数据丢失，只是导致IT工作人员紧张忙碌了数小时。

在处理该事件过程中，IT人员发现事件的根本原因在于信息系统中存在缺陷。该缺陷可能会被蓄意或无意地利用，导致系统故障。更糟糕地是，他们通过运行一种程序（运行时间不超过5分钟）发现系统厂商已发现了该缺陷并进行了修复。多么糟糕的一天啊！

这种情况再平常不过了，有时候会导致更严重的后果：数据丢失或被窃取，且造成运营损失，中断业务。在本文中，笔者将介绍如何通过ISO 27001中的A.12.6.1（技术漏洞管理）处理以上情况。

漏洞是什么及漏洞如何产生的？

ISO 27000概述了ISO信息安全管理系统及词汇表，规定漏洞为资产或安全措施中存在的可由一个或多个威胁利用的缺陷。同时，ISO 27000将威胁定义为可对系统或组织造成损害的意外事件的可能原因。

因此，若威胁发现可利用的缺陷，就出现了漏洞。然而，缺陷来自何处？一般来说，缺陷是资产或安全措施在设计、实施、配置或运行过程中存在的不足之处。疏忽大意或故意行为均可导致缺陷。有些缺陷很容易识别、纠正和利用，而有些则需要投入时间、精力和资源。

ISO 27001涉及的漏洞管理方法

ISO 27001的A.12.6.1主要通过以下三个步骤进行 漏洞管理 ：

• 及时发现漏洞 。越早发现漏洞，你就越有充足时间对其进行修复，至少向厂商上报这一漏洞，这样留给攻击者利用漏洞的时间就越少。
• 对组织的漏洞暴露情况进行评估 。某个漏洞或一组漏洞对不同组织的影响可能不尽相同。您需要进行风险评估，找出您的资产和业务的重要漏洞，并对其进行优先级排序。
• 将相关风险考虑在内的合理措施 。找出最严重的漏洞后，需考虑采取措施，然后分配资源处理漏洞，也就是说，制定风险应对计划。最明智的做法是要考虑漏洞的风险等级

ISO 27002为实现漏洞管理目标提供支持

ISO 27002定义了实现漏洞管理目标的支撑行动，提供实施安全措施（如A.12.6.1）时需考虑的最佳实践。ISO 27002建议采取以下行动：

• 盘点资产 。有效的漏洞管理取决于您所掌握的您的信息资产的相关信息，如软件厂商、软件版本，软件安装位置以及每个软件的负责人。
• 明确职责 。漏洞管理需进行多项不同活动（如监控、风险评估和纠正等），因此，为方便起见，需明确职责，合理分工，确保对资产进行合理追踪。
• 明确参考资料 。您的参考资料列表上应包含厂商站点、专业论坛和特别兴趣小组，从而了解漏洞与修复措施相关的新闻。有关信息安全管理体系（ISMS）中特别兴趣小组角色的更多信息，请参见《特别兴趣小组：对您的ISMS非常有用的资源》。
• 按照制定的流程处理漏洞 。不论漏洞的紧急程度如何，以结构化方式处理漏洞非常重要。处理漏洞时应考虑变更管理或事件响应流程，因为这些流程考虑了漏洞优先级、时间响应和响应升级等方面，指导您该采取哪些行动。
• 做好记录以供事后分析 （事后需进行分析）持续记录所发生的事件以及事件处理过程是非常重要的，因为这样您可以从事件中吸取教训，防止后续类似事件的发生。至少这样做可尽量减轻事件影响，改进漏洞管理流程。此外，确保定期进行评估，尽快改进和修复漏洞。

我们举一个漏洞管理例子：“心脏滴血”漏洞在2014年被发现，可通过加密通信导致信息被窃取。通过阅读资产库中定义的参考资料，组织发现该漏洞可影响一些被视为关键性的资产。通过采用变更管理流程，您可通过补丁部署规划合理的缺陷纠正措施，以加密方式传输信息，安装补丁，将信息泄露风险降至最低。

不要被自己的防护措施中的漏洞打败

由于市场需要更快速的软件交付及更多特性，将会有更多漏洞出现。因此，为确保您的信息资产安全、维护企业形象以及保持竞争力，制定漏洞发现和处理计划非常重要。您会发现，通过对ISO 27001和27002推荐的漏洞控制措施进行调整，使其与您的业务需求相匹配会省掉很多麻烦和不必要的工作，尽量减小对公司信誉的损失和影响。

绿盟科技认为，应该要利用威胁情报信息，深度解读漏洞利用细节、利用热度、利用难度等技术细节，为企业安全运维人员提供详实的漏洞细节，便于他们结合企业实际情况分析漏洞影响，为漏洞修复提供决策依据，有利于真正实现漏洞管理的闭环操作。

绿盟威胁和漏洞管理平台

绿盟科技关注全球范围安全漏洞情报，与安全厂商广泛合作，建立起绿盟科技的威胁情报系统（NTI），成为TVM方案的重要情报来源。TVM在企业本地部署管理平台，从绿盟云端威胁情报中心获取漏洞情报数据，也可导入企业首发漏洞情报，打通威胁情报到管理流程之间的通道，实现安全厂商到安全运维人员、以及情报和本地管理流程的结合，由情报触发预警，结合对本地网络资产的深度发现和持续监控，对资产细致梳理完善管理,推动人员和漏洞管理流程运转，帮助建立快速响应机制。

在影子经纪人泄露大批漏洞及利用工具的事件中， 绿盟科技TVM情报驱动快速应急响应 ，回溯使用TVM 进行应急响应的过程，不难发现，通过TVM提供的情报驱动应急响应能力，省去了客户需要进行的升级周期等待，用户扫描周期等待，漏洞扫描，漏洞修复优先级方案判断等繁琐的流程步骤。从被动响应变成主动预警。客户可以直接根据TVM上运营管理的企业资产信息库，在同步NTI漏洞情报数据的同时，直接统计出企业受影响资产范围数据。

原文发布时间：2017年7月5日

本文由：advisera 发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/iso-vulnerabilities-management#

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站