通常我們說解決問題的第一步是承認存在問題。這聽起來很像忠告,但在IT脆弱性風險管理的問題上,這樣表述要好得多:“第一步是找出你面臨什么風險。” 通常風險相關的問題冒出來,是因為某個特別的東西出錯了。
一個城市垃圾堆或者華爾街日報文章冒出了敏感信息,或者就像一位最近的客戶的情況那樣—因為處理政策的缺失某個報廢設備的一部分出現在了eBay上。
無論IT的風險是什么,查找、修復并保護組織的數據、應用、網絡、系統等組件中常見或不常見的漏洞都有一套基本的最佳實踐。本提示將就如何創建一個脆弱性評估流程提供建議。
脆弱性風險以很多形式出現
風險的常見定義是某件不好或令人不快的事情會發生的機率。IT專業人士的挑戰是指,負面事件會以哪種形式出現。
最終把風險看作是單一“東西”的組織太多了。在IT中,風險不是單個的。就像我前面指出那樣,脆弱性有多個來源。還有,比如說像應用里面的一個風險,往往是多層面的責任。無法識別出安全隱患的多個引發點很容易就會導致不切實際的期望,也會導致最后應用被視為難以令人滿意。
導致情況更糟糕的是,該領域的脆弱性檢測和風險管理軟件供應商往往把自己的應用定位成客戶自己描述的單個問題的點解決方案。在這些情況下,組織把自己認為如外科手術版精準的策略和在概念上看起來難以置信的技術組合起來,但最終在脆弱性風險評估當中卻幾乎沒有收到任何實際效果。用這種辦法不大可能對醫院病人采取醫用雞尾酒療法,按照配方根據其“疾病”的診斷進行治療。
最適合脆弱性風險管理的團隊組織法今年的5月13號星期五被稱為全國責怪他人日(National Blame Someone Else Day)。說到軟件、系統、數據等安全泄露時,每天似乎都是這個節日。大多數對“這是怎么發生的?”的調查都是從怪罪開始的,總有個人要被嚴加斥責。誰該指責往往跟你在組織圖上出現的位置有關,這種情況太經常了。
如果你身居高位的話,你得到的好處就是只用告訴那幫家伙追根溯源并任命那幫人的領導就行。如果不是的話,你必須爭取更高層的支持,因為大多數脆弱性風險評估都必須是跨職能的,是要跨越組織性和技術平臺邊界的。主管的話事權往往是鼓勵全面協作的的必要條件。無論是哪一種情況,當文化具備包容性和協作性特點時這一流程都會進行得最順暢,但情況往往不總是這樣,事情很少能在你控制之內。
降低風險程度的三個問題為了把風險的大問題削減下來聚焦到可以有效處理的程度,有3組問題是脆弱性風險評估團隊必須回答的。
1、哪種類型的漏洞會導致風險?
A、組織外部的攻擊?
B、組織內部的破壞?
C、不合規的匯報和審計?
D、隱私侵犯?
2、在我們的總體環境當中什么地方是敏感鏈的薄弱環節?
A、我們的網絡安全嗎?
B、我們的應用集成架構—尤其是涉及到云方面的?
C、我們的驗證或鑒權協議和過程?
D、我們的數據管理策略和相應的執行嗎?
E、還是上述全部?(提示:這幾乎總是正確的答案)
3、如果我們不對此薄弱環節做任何處置的話會有什么代價?
A、會導致我的組織或我個人金錢損失嗎?
B、會妨礙我們實現目標的能力嗎?
C、會導致法律風險嗎?
D、會導致有害的困局嗎?
這些問題必須都要回答,因為回答的相互對照可以聚焦最需要引起注意的領域。大多數情況下,優先級最高的風險是潛在相關成本最高的那些—盡管有時候為了展示響應能力也會從最容易處理的開始。(當風險跟法院或合規性扯上關系時這一點尤其重要)
建立風險阻止團隊現在你已經知道應該吧精力放在什么地方了,接下來可以開始確定誰應該加入初始的風險管理團隊了。很多情況下,詳細審查之下的風險性質使得這一步成為很明顯的事情,即便優先級還沒確定的情況下—比方說,訴訟的漏洞意味著你必須把公司律師放進來,并且強烈建議你“早”點邀請那些人過來談。
毫無疑問,在處理信息問題時你的候選人清單可能要把“通常的嫌犯”列進來:
資深高管合規性經理法律顧問檔案經理IT員工(開發者、架構師、運營經理等)出事的時候除了當事人以外,部門負責人往往也難辭其咎
注意,漏洞評估流程的形成和團隊建設取決于風險背景,同時還會受到上述對每個風險關切的多重性的影響。與信息處理的方式相比,風險跟信息本身不那么直接相關。因此,你可能需要考察審視角度比典型信息管理更高級的更元級別的問題—比方說,更少基于詞匯更多地基于業務流程的思維。
此外,還有兩個重要角色是大多數漏洞評估流程團隊都需要的:
1、檔案經理和IT人士應該成為幾乎每一支你組建團隊的一員。要管檔案的家伙是因為他們的角色主要是管理和保護關鍵的業務信息,并且具備豐富的相關知識和經驗,而IT專業人士是因為幾乎所有東西都是在計算機上跑的。
2、說到IT和跟IT討論東西時,要確保會話包括任何你用到的云提供商。這一原因似乎明顯,但你會對這一點往往被忽視感到驚訝。這些情況下,你的信息和基礎設施的完整性嚴重依賴于他們的,因為你的東西是在對方的系統上跑的。所以他們必須成為團隊的一員。
像Woodward和Bernstein一樣行動團隊組建完畢后,實質工作現在就可以開始了。這一流程的核心看起來很像調查報道,也是要團隊去尋找信息管道當中薄弱或者破裂環節的跡象。
下面這些是無價之寶:
郵件發件人、接收者以及附件:涉及到的這些是否足夠安全?
系統時間戳:登入和登出、文件訪問、邊界攻擊。
不合規的通知:來自監管者、審計方等
Web上提到的未被許可材料:應該屬于私密內容的東西被公開曝光
漏洞評估流程調查包括了在系統內外流動的人和文檔,首先要確保只有合適授權的能進來,其次只有得到批準的信息能出去。聚焦到誰以及哪個文檔上面應該反映出你要減輕的風險的本質—應該能夠把我們帶回到以非單一化的方式對待風險的重要性。
僅僅承認有風險存在是不夠的。有了漏洞評估流程就位之后,組織就能夠前瞻性地識別和抵消風險了。
京公網安備 11010502049343號