在安全研究人员、执法机构或业务合作伙伴等外部机构提醒系统被入侵或破坏之前,组织机构,特别是大型企业,通常不会意识到这些危险。随着攻击方法的不断传播,开源组件的使用越来越多,云服务的广泛使用,许多企业面临的攻击也在扩大。令人尴尬的是,企业自己的安全团队越来越难找到这些漏洞。例如,入侵者已经打破了它SolarWinds该公司的系统并通过该公司的软件传播恶意软件,但SolarWinds但直到安全制造商才注意到FireEye向SolarWinds通报相关漏洞,SolarWinds如梦初醒。
几个月来,许多企业的漏洞都没有得到修复,根本原因是企业的内部安全团队没有发现,SolarWinds案例只是典型案例之一。因此,近年来,企业接收和响应外部机构提供的安全信息(无论是漏洞通知还是新的重大威胁)越来越重要。
负责为Coalfire公司高管提供网络策略建议John Hellickson说:“任何提供网络产品或服务的企业都应建立一套接收和响应机制,以便外部机构能够通知可能影响其产品或服务的潜在问题。”
以下是企业有效建立这一能力的六项技能:
1. 制定详细的漏洞报告制度
市场研究机构IDC负责安全研究的副总裁Pete Lindstrom据说,企业应确保向所有打算报告安全或隐私问题的外部机构明确通知漏洞报告系统,明确企业希望外部机构负责通知漏洞,并提供电子邮件地址、电话号码等外部机构可以通知其安全或隐私问题。
企业还应澄清其处理、调查和解决这些报告或信息的方式,让第三方机构了解企业审查和解决问题的速度或时间,以便他们知道他们提供的信息没有被忽视。此外,企业还应向第三方机构澄清企业的政策。如果报告是真实的,企业将给予奖励。如果情况不真实,企业还应明确告知他们不会奖励他们提供的信息。
Lindstrom说:“管理第三方的期望对企业的成功和声誉至关重要。因此,当第三方向企业提供安全或隐私问题时,准确地知道他们想要什么是非常重要的。”
普尔全球市场情报公司的标准(S&P Global Market Intelligence)信息安全研究主管Scott Crawford建议企业利用ISO/IEC 30111标准指导漏洞处理。Crawford指出这些标准在处理第三方漏洞报告时,可以为如何制定处置规则提供指导。
2. 制定内部漏管理计划
Lindstrom他说,无论企业是否想从外部获得安全信息,都应该在内部建立应用程序安全和漏洞管理程序。对于企业来说,在外部机构发现各种漏洞之前,部署最佳实践(如定期扫描漏洞、安全补丁等)是非常重要的。“企业应积极部署最佳实践作为自身安全计划的重要组成部分。在考虑与外部研究人员合作之前,应在内部形成合力。”
Hellickson也指出:“对于企业来说,测试不同的示例场景也是一个很好的方法,这样你就可以发现一些问题,并让执行团队和法律顾问参与其中。桌面演习也是安全意识教育的重要手段。”
3. 在事件管理过程中建立外部安全通知响应机制
确保企业事件管理团队制定外部安全通知机制(漏洞搜索者、业务合作伙伴、执法部门或客户)。Hellickson说:“企业事故处理团队制定了响应内部安全工具、计算系统、网络传感器等报警的机制。与事故处理团队一样,企业还需要制定调查和响应外部安全通知的机制。所有的事件处理和响应机制都应该有一个明确的过程,优先考虑情报来源,直到问题得到解决。”
Hellickson认为该机制还应该有一个内置的升级程序,并提前明确团队成员在此类事件中的角色和职责。考虑到网络攻击的种类繁多,企业应制定明确的事件处理和响应计划,详细说明事件信息接收的环节,并适当分类。
Pathlock的董事长Kevin Dunne指出,如果需要响应生产代码中的漏洞,事件管理团队需要全力以赴。“如果不解决这些漏洞,很快就会在黑市上出售。如果补救不及时,这些漏洞可能会被犯罪分子利用。”
4. 准备从其他部门抽调人员
用于接收外部安全通知的电子邮件和电话号码必须由IT或者安全部门负责。这两个部门应该准备随时调查和修复问题。制定必要时可以快速从企业其他部门转移人员的计划也非常重要。Lindstrom这是因为在与外部安全研究人员或漏洞搜索者合作时,没有人能预测事件将如何发展。
例如,外部研究人员可能希望通过报告漏洞获得奖励,但企业对处理此类漏洞报告没有明确规定。在这种情况下,安全团队可能需要法律部门的人员与外部研究人员进行谈判。Lindstrom说:“处理不当的漏洞报告可能会损害企业的声誉和品牌。让沟通团队和营销团队的成员参与其中可能会产生意想不到的效果。在处理漏洞报告有很多变量。整个事情的处理实际上与沟通和声誉密切相关。”
5. 制定漏洞托管合作/漏洞奖励计划
应考虑具有重要公众形象的大型企业和机构HackerOne和BugCrowd等漏洞披露机构签约。此类计划为外部各方提供了一种机制。在这种机制下,外部能够以负责任的方式向企业通报他们发现的漏洞或隐私泄露问题。
普尔全球情报公司标准Crawford指出企业可以通过漏洞通知计划外包整个漏洞发现工作。虽然有了这些计划,企业仍然需要有良好的内部事件响应能力,因为它们可以帮助企业在初始阶段接收和响应外部漏洞研究人员提供的信息,并与之沟通。Crawford还指出,这些项目可以让第三方研究人员和漏洞搜索者有计划地在企业应用程序和服务中找到漏洞,从而最大限度地降低企业面临的风险。
Dunne说:“如今,许多企业为了向独立的第三方研究人员收集漏洞信息,公布了自己的漏洞赏金或漏洞发现计划。”通常,如果企业为消费者提供一个或多个服务,这些企业往往更容易收集漏洞信息。酒店、零售、旅游、消费金融等行业通常会制定有吸引力的漏洞赏金项目。
与此同时,Dunne还指出:“如果企业经常收到第三方研究人员提供的漏洞信息,但尚未建立相应的确认机制,则应考虑建立这一机制。”即使企业不奖励已识别的漏洞,也最好制定响应和确认通知的漏洞信息的计划,并及时通知研究人员和客户补救计划。“如果漏洞信息已经通知,但企业无动于衷,对企业极为不利。如果不确认通知的漏洞信息,就相当于承认企业不认真对待安全问题,不重视客户数据。”
6. 在收集威胁情报时,需要澄清一些问题
Dunne 指出,与独立研究人员和漏洞搜索者合作获取漏洞信息和威胁信息的企业应认真考虑几个关键问题。例如,企业需要决定是让所有人都知道该项目的漏洞,还是只向特定的研究人员披露。企业必须确定他们最感兴趣的是什么类型的安全问题或隐私问题。企业需要提前制定计划来测试报告的安全问题。此外,企业还应确定是在生产环境中进行测试,还是在独立的模拟生产环境中进行测试。
此外,企业还必须提前明确是否愿意为漏洞信息报告提供奖励,奖励金额是固定的还是根据问题的严重程度进行调整。也就是说,这些奖金是否高于黑市中这些漏洞的价格。