脆弱性管理

内容

概述

脆弱性管理包含涉及的努力不断识别、分析和消除漏洞,存在于一个组织的网络。熟练的攻击者可以利用漏洞以执行恶意活动。发现漏洞及时采取行动是必要的防止此类攻击成功。

KB的这篇文章将解释的各种组件由UTS支持脆弱性管理和实现的预期从应用程序/系统管理员和所有者。

角色和职责

  • UTS信息安全团队:

    • UTS信息安全团队的主人脆弱性管理计划并监督其实施。信息安全团队将启动调查发现漏洞,对大学系统构成足够的风险。此外,信息安全团队将监视和行动脆弱性报告来自受信任的伙伴,政府机构和其他可靠的来源。依照大学政策,信息安全团队授权断开或检疫大学任何脆弱的系统网络,直到确定脆弱性是适当的减轻。

  • 应用程序/系统所有者:

    • 应用程序/系统所有者负责资产被扫描的技术漏洞管理项目。负责应用程序/系统的所有者决定采取什么行动一旦确定了一个漏洞和评估。如果一个应用程序/系统所有者想要接受相关的风险与脆弱性,这是他们的责任与信息安全团队合作开发风险验收计划。

  • 应用程序/系统管理员:

    • 应用程序/系统管理员执行分析识别漏洞和实施纠正措施的技术资产管理。依照大学的政策,这是应用程序/系统管理员的职责,以确保及时安装最新的安全补丁。由多个应用程序服务器管理/系统管理员、信息安全团队将最优试图通知适当的管理员对基于服务器层明显的漏洞(如硬件、操作系统、应用程序等)的漏洞被发现。此外,应用程序/系统管理员会让监视和行动漏洞报告收到供应商。关于供应商信息安全咨询与信息安全团队将共享。

漏洞扫描类型

UTS提供下列类型的漏洞扫描:

  • 系统扫描:

    • 将扫描系统扫描目标系统漏洞,存在于一个系统由于脆弱的安装的软件版本。它是通过比较各种行政命令的输出对漏洞扫描供应商创建的签名。是否满足条件脆弱的签名,然后一个漏洞将会报道。这些扫描在本质上是被动的扫描仪不试图积极利用漏洞。

  • Web应用程序扫描:

    • 一个web应用程序扫描将扫描一个目标系统托管web服务漏洞。除了比较报告软件版本对脆弱性签名,web应用程序通过模拟的扫描仪还将试图找出漏洞攻击目标系统常见web应用程序。包含在这些检查OWASP十大应用程序安全性风险和SANS软件错误。如果扫描仪能够展示一个成功的概念验证攻击,那么一个漏洞将报道。这些扫描在本质上是积极的,他们试图利用漏洞。

期望和标准

新服务器的构建

新服务器将被包含到脆弱性管理程序的一部分服务器调试过程。新服务器将收到最初的漏洞扫描的适用。任何高或关键漏洞报告初始扫描之前必须解决一个新的服务器可以进入生产。

扫描调度和频率

漏洞扫描将核心业务之外的调度运行小时,以便不影响业务操作。扫描将定于每月运行一次,除非更大的频率要求。应用程序/系统所有者将收到一个扫描完成时,系统生成的电子邮件。

信息安全小组有权临时上运行脆弱性扫描在核心业务时间。

扫描和修复工作流程

以下工作流将坚持一次扫描配置:

  • 1)扫描:计划漏洞扫描将运行并生成报告
  • 2)识别/分析:信息安全团队将分流和明显的漏洞报告进行初步评估
    • 应用程序/系统管理员也将检查漏洞扫描报告
    • UTS票将被创建的应用程序/系统管理员票联系
    • 信息安全团队可能参与和/或安全主题专家咨询小组,以更好地评估脆弱性
  • 3)确定行动:信息安全团队将使用应用程序/系统管理员和业主确定的行动计划:
    • 纠正:供应商提供的补丁将安装防止剥削的脆弱性
    • 减轻:vendor-recommended解决方案将实现防止剥削的脆弱性,直到它可以矫正一个补丁
    • 接受:不将采取行动以防止漏洞的剥削;它将记录应用程序/系统所有者接受相关的风险
      • 生产风险接受将被记录在一个机票和添加到生产风险登记
  • 4)实施纠正措施:医治或缓解措施将商定的时间框架内实现的
  • 5)重新扫描:另一个漏洞扫描将被执行,确保发现的漏洞已经成功解决
    • 各自的ut,机票将重新扫描成功后得到解决

纠正措施的时间框架

实施纠正措施一旦决定开始减少漏洞或实现一个解决方案。脆弱系统合规标准,如pci dss,受到相关标准中指定的修复时间(如30天的时间来解决一个关键漏洞)。系统不属于合规标准,信息安全团队将与应用程序/系统所有者安排一个日期的实现修正这些行动,采取最佳实践,风险水平,考虑到当前的趋势和业务的影响。在严重的情况下,断开受影响的系统的网络将是必要的,直到脆弱性充分矫正或者减轻。

危险得分

信息安全团队将坚持NIST的普通危险得分系统(CVSS)版本3.0在评估和优先公布漏洞。

额外的注意事项

请联系(电子邮件保护)与任何其他问题或担忧脆弱性管理过程。

引用