各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 229期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
话题抢先看
1. 如何确切证明企业资产中的漏洞对系统和数据的潜在危害,以提高漏洞报告的说服力?
2. 在确定企业漏洞的影响范围时,面临哪些具体挑战?如何准确评估漏洞对资产的实际影响?
3. 企业在修复漏洞后,修复方案的有效性又该如何验证?
4. 党建与审计部门要不要参与信息安全审计?法务合规部要不要参与信息安全合规建设?
话题一:如何确切证明企业资产中的漏洞对系统和数据的潜在危害,以提高漏洞报告的说服力?
A1:
一般公司内部,对于外网漏洞还是认可的,对于内网系统的漏洞认可度不高,说服的阻力也是在这块;对于外网漏洞,主要验证出来漏洞真实可利用,基本上研发还是会认可的。
A2:
根据系统的重要程度,以及这个漏洞不修复可能造成的后果、对业务的影响程度来说,比如再低危的DoS也要修。
A3:
资产系统的重要等级划分,风险的可接受程度,对漏洞进行验证,产生的影响说明,较有说服力。
A4:
当场演示一遍,演示不成功,这个漏洞也没太大的危害。严重漏洞之所以定为严重或者高危,是因为轻而易举拿下服务器。
A5:
先看系统等级吧,根据风险评估的要素划分一下就可以了,毕竟好多高危漏洞没法修,只要不是外网的,内部限制一下访问控制就可以了。
A6:
A7:
所以还是要先确定资产的类别和重要性的才能针对性做ACL。
A8:
获取设备控制权、获取篡改删除敏感数据、影响可用性(基于漏洞直接以少量资源可造成DoS),都这样别人还不认那就没办法了。
A9:
定期开展漏洞评估应作为企业的一项持续性工作,重点是为企业高级别的网络设备和服务的安全状态。必要时还需要上升到企业战略层面,专门制定安全评估政策,以确保评估工作的正常开展。
A10:
可以利用风险评估和威胁模型来定量分析漏洞对系统的潜在影响,以此量化潜在的损失,如数据泄露、系统瘫痪、服务中断等,从而使漏洞的影响更具体化。
A11:
首先,可通过专业的漏洞扫描工具对相关主机进行漏洞扫描,协助人工收集主机的相关信息,同时可以参考ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞处置流程;其次,对于每一个识别出来的漏洞进行风险评估,确定该漏洞被利用后可能对系统和数据造成的具体影响,最后可提供过去类似漏洞被利用导致的实际损害案例来提高说服力。
Q:在确定企业漏洞的影响范围时,面临哪些具体挑战?如何准确评估漏洞对资产的实际影响?
A12:
主要涉及业务互联情况,业务梳理是难点吧,影响的判定如果没有一套定量分析的手段,还是定性分析。
A13:
漏洞对资产的实际影响主要看三大维度:
1. 资产所属区域(红区蓝区绿区互联网区等)
2. 资产等级
3. 漏洞级别(CVE库有漏洞描述和级别)
通过三者交叉可绘制矩阵表格去给领导汇报,如果矩阵中全是红色(漏洞在各区域+级别是最高级)自然领导会重视。如果确认修复漏洞要考虑对业务SLA连续性稳定性的影响、修复时间、何时修复影响最小、回退机制、前期演练、修复团队组成等。
我们之前反复落地验证过,这个方式是行之有效的,第三方厂商反复地折磨我们一堆漏洞设备,我们就反复修复,因为整个数据中心云计算平台对整个集团所有业务受到影响。
最后总结一句话 买设备一定要买大厂商。
A14:
面对的挑战可能包括:
1. 复杂的网络拓扑:企业网络通常由多个子网、服务器、设备和应用程序组成,使确定漏洞的影响范围变得复杂;
2. 潜在攻击路径:漏洞可能会被攻击者利用,通过网络中的不同路径传播并对其他系统或资源造成影响;
3. 多样化的技术栈:由于企业使用各种不同的技术和应用程序,每个技术栈都可能存在不同类型的漏洞;
4. 漏洞的利用条件:某些漏洞可能需要特定的条件才能被成功利用,例如用户特权、特定的网络访问权限或其他先决条件。
A15:
确定影响范围时面临挑战大概几个方面吧:资产规模庞大、资产难以面面覆盖。资产依赖关系复杂、资产动态更新跟跨部门合作。
评估漏洞对资产的实际影响也主要要做好几个方面:完善的资产系统清单,比较全的风险评估工具,漏扫和渗透测试辅助。
Q:企业在修复漏洞后,修复方案的有效性又该如何验证?
A16:
人工验证,持续监控,外部反馈。
A17:
有卡点有流程就可以。
A18:
1. 先在测试系统上进行修复和修复演练;
2. 修复完成后在测试系统进行EXP验证;
3. 在生产系统上进行PoC验证。
A19:
1. 引入BAS;
2. 使用SCA持续扫描。
A20:
1. 做好快照/备份;
2. 通过漏洞扫描验证/人工检查验证是否修复;
3. 定期进行扫描/人工验证。
话题二:党建与审计部门要不要参与信息安全审计?法务合规部要不要参与信息安全合规建设?
A1:
法务有专项没有,如果有需要信息安全审计协助的,那就是法务牵头,信息安全协助。如果党建部门理解为业务部门,要看你们审计制度怎么定义了。
A2:
参与是联合他们审计?法务合规可以帮你解读相关条款,也是参与了吧。
A3:
是的,我们就想制度这块编制后给到法务过。
A4:
党建没必要吧,就法务就可了,弄完发个草案试用一段时间,发正式。
A5:
我们党建和审计是一个部门。
A6:
联合可以啊,看看党建有啥新任务和考核,把审计工作贴上去。
A7:
你们的审计部门是公司财务这些,还是主要看有没有纳入IT审计,如果纳入了就需要参与吧。
A8:
信息安全审计这块,我就是感觉,只有我们搞信息安全审计,好像没人给我们背书啊,不够权威。
A9:
审计部门一般只管财务和内控,信息安全这块一般是外审进行,安全部门一般是配合审计工作。
A10:
我们拿安全证书都是法务牵头,因为资质都是他们管的,我们就是个配合方。
A11:
其实我有点奇怪,信息安全审计制度是我们写,然后审计也是我们做,感觉有点奇怪。
A12:
标准做法:
1. 审计制度由质量办去写(而不是信息安全部门和法律部门);
2. 审计的权威性根据央企等集团总部下发的文件,比如要求每年几次,需要什么人审计哪些内容等,另外为了突出审计的权威性,要拿到本集团+本行业的相关标准文件编号,包括写报告的时候必须要引用,不能随心所欲瞎审;
3.一般来说,具体审计是整个法务部门的下属审计组去做审计(按照公司组织架构划分有所不同,比如一些央企总部就是这样);
4.各部门配合参与配合审计和审计团队是两码事,不能混淆,如果审计组没人的时候可以协调法律部门的人编入审计组,自然也可以抽调IT和质量办、保密办的人,但审计的主要方不是法律组,法律组一般情况下负责的是员工合同纠纷仲裁、商务合同、知识产权合同等,与审计要做的监管类性质不通,他们也无法解读。
本期观点总结
在本期讨论中,为了提高漏洞报告的说服力,大家认为可通过验证漏洞的可利用性、根据系统重要程度和漏洞修复对业务的影响确定修复优先级、对资产系统进行等级划分和风险评估、进行演示以展示漏洞危害、限制漏洞影响范围等方式进行。在确定漏洞对资产的实际影响时,可能面临网络拓扑复杂、攻击路径多样化、技术栈多样化和漏洞利用条件等挑战。为了验证修复方案的有效性,可以采取人工验证、持续监控和外部反馈等方法。
在党建与审计部门是否要参与信息安全审计讨论中,有人认为党建部门可以参与信息安全审计,但需要根据审计制度的定义和党建部门的职责来确定具体的参与方式。在信息安全合规建设方面,法务合规部门可以负责制定相关的法律法规合规制度和政策,解读相关条款,与其他相关部门进行沟通和协调,确保信息安全合规建设的顺利进行。
近期群内答疑解惑
Q:密码有效期180天,合规么?
A1:
什么密码?
A2:
堡垒机的密码。
A3:
6个月合规的。
A4:
那《网安法》?
A5:
网络安全法对于网络设备的密码规定并没有明确指出密码的最长有效期。
A6:
那等级保护呢?
A7:
都没规定。
Q:数据安全什么认证或者体系比较靠谱?
A1:
DSMM。
A2:
DSMM偏向数据治理吧,我公司弄过。
A3:
DSMM包含数据安全,数据安全也不可能脱离治理去做。你说这个数据是核心数据,要在采集存储交换加个等使用一些技术手段,提出的依据就是依赖治理过程的分类分级。
Q:为了减少业务系统的漏洞数量,有什么自动化手段吗?
A:
说到底就是DevSecOps那套,从研发全周期考虑,每个节点加入安全考量因素。落地执行顺序,从右到左,上线前渗透,测试环境跑灰盒,开发环境跑白盒+SCA,产品设计的时候加入威胁建模。
具体量体裁衣,看公司量级,能不能撑住这套成本,如果撑不住,就先只做最右边的。
甲方群最新动态
上期话题回顾:
活动回顾:
看清新风险,解构新安全 | FCIS 2023网络安全创新大会精彩回顾
活动预告:
近期热点资讯
2023全球年度安全漏洞TOP 10 | FreeBuf年度盘点
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1300+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。
如有侵权请联系:admin#unsafe.sh