接收并响应第三方安全通报的六个技巧
2021-05-27JaikumarVijayan陈琳华
Jaikumar Vijayan 陈琳华
在安全研究员、执法机构或业务合作伙伴等外部机构提醒系统存在被入侵或被破坏的危险之前,组织机构,尤其是大企业通常都不会察觉到这些危险。随着攻击方法的不断扩散,开源组件的使用日益增多,以及云服务的大量采用,许多企业面临的攻击面也在不断地扩大。令人尴尬的是,企业自己的安全团队已经变得越来越难以发现这些漏洞。例如,入侵者已经攻破了SolarWinds公司的系统并通过该公司的软件不断传播恶意软件,但是SolarWinds却一直没有察觉到,直到安全厂商FireEye向SolarWinds通报了相关漏洞,SolarWinds才如梦初醒。
许多企业的漏洞在长达数月的时间里都没能得到修复,根本原因在于企业的内部安全团队没有发现它们,SolarWinds案例只是其中的一个典型案例而已。因此,近年来,接收和响应由外部机构提供的安全情报(无论是漏洞通知还是新的重大威胁),对于企业来说正变得越来越重要。
负责为Coalfire公司的高层提供网络策略建议的John Hellickson说:“任何提供网络产品或服务的企业都应建立起一套接收和响应机制,以便外部机构能够向其通报可能对其产品或服务产生影响的潜在问题。”
以下是企业有效建立起这种能力的六个技巧:
1.制定详细的漏洞报告制度
市场研究机构IDC负责安全研究的副总裁Pete Lindstrom说,企业应当确保向所有有意向其报告安全或隐私问题的外部机构明确告知企业的漏洞报告制度,阐明企业期望外部机构以负责任的方式通报漏洞,并提供电子邮件地址、电话号码等外部机构可以向其通报安全或隐私问题的方式。
企业还应对外阐明其处理、调查和解决这些报告或信息的方式,并让第三方机构了解企业审查和解决问题的速度或时间,以便让他们知道自己提供的信息没有被忽视。此外,企业还应向第三方机构阐明企业的政策,如果通报的情况属实,企业将会给予奖励。如果情況不属实,那么企业也要明确地告知他们不会对其提供的情况给予奖励。
Lindstrom说:“管理好第三方的期望对企业的成功和声誉至关重要。因此,当第三方向企业提供安全或隐私问题时,准确地知道他们期望得到什么,对于企业来说很重要。”
标准普尔全球市场情报公司(S&P Global Market Intelligence)信息安全研究主管Scott Crawford建议,企业应该利用ISO/IEC 30111标准中的指南来指导漏洞处理工作。Crawford指出,在处理第三方漏洞报告时,这些标准可为如何制定处置规则提供指导。
2.制定内部漏洞管理计划
Lindstrom称,不管企业是否希望从外部获得安全情报,都应在内部建立起应用程序安全和漏洞管理程序。对于企业来说,部署最佳实践(例如定期进行漏洞扫描,打上安全补丁等)非常重要,这样可以有效降低风险,先于外部机构发现各种漏洞。他说:“企业应积极地将部署最佳实践作为自身安全计划的一个重要组成部分。在考虑与外部研究人员合作之前,应在内部先形成合力。”
Hellickson也指出:“对于企业来说,针对不同的示例场景进行测试也是一种不错的做法,这样可以发现一些问题,并让执行团队和法律顾问参与其中。桌面演练也是安全意识教育一个重要手段。”
3.在事件管理流程中建立外部安全通报响应机制
确保企业的事件管理团队制定有响应(漏洞搜寻者、业务合作伙伴、执法部门或客户的)外部安全通报的机制。Hellickson说:“企业事故处理团队制定有响应来自内部安全工具、计算系统、网络传感器等警报的机制。和事故处理团队一样,企业也需要制定调查和响应外部安全通报的机制。所有的事件处理和响应机制都应有一个明确的流程,以对情报来源进行优先排序、审查和分类,直至问题被解决。”
Hellickson认为,这个机制还应有一个内置的升级程序,并提前明确团队成员在此类事件中的角色和职责。考虑到网络攻击种类繁多,企业应制定清晰的事件处理和响应计划,对事件信息接收的每个环节进行详细说明并对这些信息进行适当分类。
Pathlock的董事长Kevin Dunne指出,如果需要对生产代码中的漏洞进行响应,那么事件管理团队需要做好全力以赴的准备。他说:“若不对这些漏洞加以解决,那么这些漏洞很快就会在黑市上被出售。如果补救不及时,那么这些漏洞就可能被不法分子利用。”
4.做好从其他部门抽调人员的准备
那些用于接收外部安全通报的邮箱和电话号码必须由IT或安全部门负责。这两个部门要做好随时调查和修补问题的准备。制定一个在需要时可快速从企业其他部门抽调人手的计划同样非常重要。Lindstrom指出,这是因为在与外部安全研究人员或漏洞搜寻者合作时,谁都无法预测事件将会如何发展。
例如,外部研究人员可能希望通过报告漏洞而获得奖励,但是企业没有关于处理此类漏洞报告的明确规定。在这种情况下,安全团队可能需要法务部门的人员与外部研究人员进行谈判。Lindstrom说:“漏洞报告处理不当可能会损害企业的声誉和品牌。让沟通团队和营销团队的成员参与进来可能会起到意想不到的效果。在漏洞报告处理方面,存在着大量的变量。整个事情的处理实际上与沟通交流和声誉有着密切地联系。”
5.制定漏洞托管协作/漏洞奖励计划
大型企业和具有重要公众形象的机构应考虑与HackerOne和BugCrowd等漏洞披露机构签约。此类计划为外部各方提供了一种机制。在这种机制下,外部能够以负责任的方式向企业通报他们发现的漏洞或隐私泄露问题。