GTAG6：管理与审计IT.pptx

GTAG6GTAG6：管理与审计：管理与审计ITIT漏洞漏洞Group 6Group 6框架框架简介简介漏洞管理的生命周期漏洞管理的生命周期判判断一个组织的成熟度断一个组织的成熟度其他其他1.1 1.1 简介（简介（1 1）漏洞管理是什么？漏洞管理是什么？一个组织用来识别，评估和修正可能导致商一个组织用来识别，评估和修正可能导致商业和安全风险的漏洞的过程和技术。业和安全风险的漏洞的过程和技术。实实现有效率的漏洞管理的关键点是什么？现有效率的漏洞管理的关键点是什么？组织必须建立一个检测，评估与规避漏洞的组织必须建立一个检测，评估与规避漏洞的流程，使这些工作与整体的流程，使这些工作与整体的ITIT流程框架相结合。流程框架相结合。漏漏洞管理是否只是需要技术上的实现？洞管理是否只是需要技术上的实现？并非如此。最大的挑战往往来自于如何激励个并非如此。最大的挑战往往来自于如何激励个人，从而推动高效的流程。人，从而推动高效的流程。本章将会帮助读者了解下列内容：本章将会帮助读者了解下列内容：1.1.了解漏洞管理流程了解漏洞管理流程2.2.能够鉴别高效率与低效率组织。能够鉴别高效率与低效率组织。3.3.熟悉一个典型的进化流程：从以技术为导熟悉一个典型的进化流程：从以技术为导向，到以风险为导向的，到以向，到以风险为导向的，到以ITIT流程为导流程为导向的。向的。4.4.为为ITIT管理人员提供有关漏洞管理的向导。管理人员提供有关漏洞管理的向导。5.5.使你能够更好的向高层管理人员提供你的使你能够更好的向高层管理人员提供你的建议。建议。1.21.2简介（简介（2 2）为什么管理为什么管理ITIT漏洞如此重要？漏洞如此重要？IT IT漏洞十分普遍，每天有漏洞十分普遍，每天有1212个新的个新的ITIT漏洞被发现。漏洞被发现。ITIT漏漏洞包括密码管理的缺乏，不合适的文件权限，薄弱的密码控洞包括密码管理的缺乏，不合适的文件权限，薄弱的密码控制与未调试好的应用程序。制与未调试好的应用程序。糟糟糕的漏洞管理流程有哪些特征？糕的漏洞管理流程有哪些特征？(1)(1)一段时间内出现高于常规可接受数量的安全事件。一段时间内出现高于常规可接受数量的安全事件。(2)(2)由于未能系统性识别信息技术漏洞而导致关键资产暴露。由于未能系统性识别信息技术漏洞而导致关键资产暴露。(3)(3)未能完整评估与每一个漏洞相联系的风险，未能优化漏未能完整评估与每一个漏洞相联系的风险，未能优化漏洞规避活动。洞规避活动。(4)(4)由于信息技术管理与信息技术安全未能衔接好，导致无由于信息技术管理与信息技术安全未能衔接好，导致无法良好控制和变更电脑资产。法良好控制和变更电脑资产。(5)(5)缺少资产管理系统。缺少资产管理系统。(6)(6)缺少一个能和弱点规避系统相协调的配置管理流程。缺少一个能和弱点规避系统相协调的配置管理流程。如何有步骤的改进漏洞管理？如何有步骤的改进漏洞管理？(1)(1)获取来自执行管理层的支持来识别和修获取来自执行管理层的支持来识别和修正信息技术漏洞，并保证这样的流程与组织本正信息技术漏洞，并保证这样的流程与组织本身对于风险的容忍程度相一致。身对于风险的容忍程度相一致。(2)(2)获取一份对所有获取一份对所有ITIT资产与其漏洞的清单。资产与其漏洞的清单。(3)(3)优化与商业风险相关的补救措施。优化与商业风险相关的补救措施。(4)(4)通过向通过向ITIT管理人员递交计划好的工作项管理人员递交计划好的工作项目来修正漏洞。目来修正漏洞。(5)(5)定时更新资产目录，漏洞测试与修正过定时更新资产目录，漏洞测试与修正过程。程。(6)(6)将自动化补丁管理与漏洞侦测技术运用将自动化补丁管理与漏洞侦测技术运用到极致。到极致。内部审计师应当如何协助组织建立良好的漏洞内部审计师应当如何协助组织建立良好的漏洞管理系统？管理系统？1.1.内部审计师需要评估用来防范，侦测与规内部审计师需要评估用来防范，侦测与规避过去的攻击与未来可能发生不利事件的流程避过去的攻击与未来可能发生不利事件的流程的有效性，并确保董事会已经被告知所有重要的有效性，并确保董事会已经被告知所有重要的威胁，事件，漏洞与相应措施。的威胁，事件，漏洞与相应措施。2.2.内部审计师需要协助内部审计师需要协助ITIT管理人员识别可能管理人员识别可能的安全隐患和事故以满足内部管理需求与相关的安全隐患和事故以满足内部管理需求与相关法律法规的要求，并且能提升他们对于漏洞管法律法规的要求，并且能提升他们对于漏洞管理的重视。对于理的重视。对于ITIT安全管理流程未能正确识别安全管理流程未能正确识别和处理的事件，内部审计师同样需要加以识别和处理的事件，内部审计师同样需要加以识别.为什么漏洞管理必须与整个组织的其他管为什么漏洞管理必须与整个组织的其他管理系统整合？理系统整合？随着漏洞数量增加，对于从发现漏洞随着漏洞数量增加，对于从发现漏洞到立即解决流程的成功执行是确保对组织到立即解决流程的成功执行是确保对组织正常运营的保证。而这样的执行只有通过正常运营的保证。而这样的执行只有通过各系统之间的整合来做到。这样的整合可各系统之间的整合来做到。这样的整合可以确保组织在面对错综复杂的以确保组织在面对错综复杂的ITIT资产变更资产变更与优化管理时游刃有余。与优化管理时游刃有余。内部审计师在漏洞管理环节上的工作范围内部审计师在漏洞管理环节上的工作范围2.12.1漏洞管理的生命周期漏洞管理的生命周期-综述综述漏洞管理的生命周期漏洞管理的生命周期44大步骤大步骤识别与确认识别与确认风风险评估与优化险评估与优化补救补救持持续改进续改进2.2 2.2 识别与确认识别与确认系统范围：如何确保管理人员能界系统范围：如何确保管理人员能界定系统的合适的范围？定系统的合适的范围？审计师必须获得一份组织中整个网络审计师必须获得一份组织中整个网络分区的列表，例如有线和无线网络，生产分区的列表，例如有线和无线网络，生产网络，备用和行政网络，传输网络，实验网络，备用和行政网络，传输网络，实验室和测试网络以及远程办公室等。另外，室和测试网络以及远程办公室等。另外，最好还有一份能够显示不同网络之间联系最好还有一份能够显示不同网络之间联系网的图表。网的图表。检测漏洞：哪些检测漏洞：哪些ITIT资产需要被定期扫描或监控？何谓扫描资产需要被定期扫描或监控？何谓扫描？何谓监控？何谓监控？所有连接到每一个网络分块的所有连接到每一个网络分块的ITIT分块都需要被定期扫分块都需要被定期扫描或监控，包括商业应用服务器设备，安全设备，通讯设描或监控，包括商业应用服务器设备，安全设备，通讯设备，网络设备以及打印机。备，网络设备以及打印机。所谓扫描，是指用来自动监控其他应用程序和所谓扫描，是指用来自动监控其他应用程序和ITIT资产资产弱点的网络设备或专门化程序所执行的流程。弱点的网络设备或专门化程序所执行的流程。所谓监控，是指安装在所谓监控，是指安装在ITIT资产上的用来报告配置信息资产上的用来报告配置信息的软件所执行的流程。它同样指一直监听网络交通，报告的软件所执行的流程。它同样指一直监听网络交通，报告或有选择的屏蔽可能造成漏洞的恶意网络交通的网络设备或有选择的屏蔽可能造成漏洞的恶意网络交通的网络设备所执行的流程。所执行的流程。证实发现：为什么需要去证实？证实发现：为什么需要去证实？尽管漏洞扫描和监控的精确度和复杂度已经足够好，尽管漏洞扫描和监控的精确度和复杂度已经足够好，但它们依然不是万能的。有两种错误难以避免：漏报但它们依然不是万能的。有两种错误难以避免：漏报(false negative)(false negative)与误报（与误报（false positive).false positive).2.3 2.3 风险评估与优化风险评估与优化风险评估：组织如何处理大量的可疑漏洞？什么风险评估：组织如何处理大量的可疑漏洞？什么情况下的漏洞不需要立即的补救？这样的情况下，情况下的漏洞不需要立即的补救？这样的情况下，还有什么必须的步骤要做？还有什么必须的步骤要做？尽管有些时候不需要执行完整的风险管理项尽管有些时候不需要执行完整的风险管理项目，但组织在面对大量的漏洞时必须执行大量的目，但组织在面对大量的漏洞时必须执行大量的微风险评估。微风险评估。组织必须根据事先确定的可接受水平来确定组织必须根据事先确定的可接受水平来确定不需要立即补救的漏洞来减少工作量（例如已有不需要立即补救的漏洞来减少工作量（例如已有的安全控制已足够避免被攻击或被攻击的的安全控制已足够避免被攻击或被攻击的ITIT资产资产价值不高）价值不高）组织必须批准与完整记录可接受的风险以避组织必须批准与完整记录可接受的风险以避免重复评估。免重复评估。优化漏洞：组织应该根据哪些标准优化漏洞：组织应该根据哪些标准来确定漏洞补救的优先顺序？组织来确定漏洞补救的优先顺序？组织为什么需要回顾过去出现漏洞的原为什么需要回顾过去出现漏洞的原因？因？组织应当根据有漏洞资产的关键组织应当根据有漏洞资产的关键性，攻击的频率和可能性性，攻击的频率和可能性3.3.补救补救规避关键漏洞：什么是故障通规避关键漏洞：什么是故障通知单系统？知单系统？建立一个漏洞规避流程：组织建立一个漏洞规避流程：组织如何同时面对数以千计的漏洞如何同时面对数以千计的漏洞？一个有效地漏洞管理项目的？一个有效地漏洞管理项目的成功的关键取决于哪两点？成功的关键取决于哪两点？4.4.持续改进持续改进停止漏洞继续传播：为什么漏洞被解停止漏洞继续传播：为什么漏洞被解决后需要通告其他部门？决后需要通告其他部门？使用操作级别协议来设置期望值：为使用操作级别协议来设置期望值：为什么一个有效地漏洞补救系统往往复什么一个有效地漏洞补救系统往往复杂而冗长？杂而冗长？OLAOLA的出现对于漏洞管理有的出现对于漏洞管理有什么意义？什么意义？借助自动化实现效率：借助自动化实现效率：以史为鉴以史为鉴组织成熟度组织成熟度低效率组织和高效率组织在低效率组织和高效率组织在生命循环中各有什么特征？生命循环中各有什么特征？