一、概述
合适的漏洞响应可以尽快减少易受攻击的产品实例的数量,并减少针对易受攻击系统的攻击。
良好的漏洞管理流程的作用:
对组织:
提升漏洞修复效率
降低漏洞再次发生的可能性
漏洞修复建议知识库
降低整体安全风险
对用户:
降低用户个人信息暴露的风险
二、漏洞处理相关的标准和流程
2.1 ISO/IEC 29147 和 ISO/IEC 30111
漏洞批露标准ISO/IEC 29147:
供应商应该有明确的方式来接收漏洞报告;
供应商应在7个日历日内确认收到漏报报告;
供应商应与发现者沟通协调(了解发现者的期望和详细的漏洞信息);
供应商应发布包含有用信息的建议,至少:
漏洞的独特标识符
受影响的产品
如果利用漏洞,损害的影响/严重程度
如何消除或缓解问题(指导或补丁说明)
如果发现者希望公开漏洞,建议给予发现者咨询相关的奖励。
漏洞处理流程ISO/IEC 30111:
供应商应该有一个流程和组织结构来支持漏洞调查和补救;
供应商应该进行根本原因分析;
供应商应权衡各种补救方案以适应现实世界的风险因素:
平衡速度和漏洞修复的彻底性
供应商应尝试与其他供应商进行适当的协调:
多供应商问题
供应链问题
2.2 漏洞处理流程
供应商漏洞验证相关的工作:
初步调查:供应商尝试确认潜在漏洞;
根本原因分析:供应商尝试确定漏洞的根本原因;
进一步调查:供应商试图在产品或服务中查找相同类型漏洞的其他实例, 或在其他产品中;
优先级:供应商将漏洞所构成的威胁视为受影响的产品或在线服务用户;
对于每个受影响的产品或在线服务,可能存在相同基础问题的不同严重性。
供应商处理漏洞可能的情况:
无法复现的漏洞
已知重复错误——问题是一个重复的漏洞,已经通过此过程解决或已经修复
过时的产品错误——该漏洞存在于供应商不再支持的产品中
非安全性错误——问题是一个没有安全隐患,或者目前已知技术无法利用的错误
第三方错误——该漏洞是由第三方代码,配置引起的,或者存在于供应商不直接负责的规范中
开发漏洞修复策略:
解决方案决策:供应商确定如何全面解决漏洞,如何减少成功利用漏洞的影响,或如何减少暴露。
生成修复补丁:供应商生成修补程序,修复程序,升级程序或文档或配置更改以解决漏洞。
测试修复策略(补丁):供应商开发并执行适当的测试,以确保在所有支持的平台上解决了漏洞问题。
发放漏洞修复方案:
在线服务漏洞解决方案:遵循组织的生产系统更新部署或配置更改过程。
产品漏洞解决方案:对于受影响的用户必须采取某些措施来保护自己的产品中的漏洞(例如,安装补丁)
修复方案发布后工作
案例维护:解决方案发布后,可能会继续对解决方案进行进一步更新。
安全开发生命周期反馈:供应商使用在根本原因分析期间获得的信息更新开发生命周期,以防止新的或更新的产品或服务中出现类似的漏洞。
监控:
对于在线服务漏洞,在供应商应用补救措施后,供应商应监控产品或服务的稳定性。
用于开发的补丁后发布监控可以帮助将通信集中到大多数受影响的用户。
2.3 信息安全技术 网络安全漏洞管理规范
漏洞生命周期的相关阶段
漏洞管理生命周期包含以下阶段:
漏洞发现:通过人工或者自动的方法对漏洞进行探测、分析,并证实漏洞存在的真实性的过程。
漏洞接收:通过相应途径接收漏洞报告者提交的漏洞信息的过程。
漏洞验证:收到漏洞报告后,进行漏洞信息的技术验证、确认和反馈的过程。
漏洞处置:通过升级版本、补丁、更改配置等方式,对漏洞进行修补的过程。
漏洞发布:通过公开渠道(如网站、邮件列表等)将漏洞信息向社会公布,或向限定范围的个人和组织公布的过程。
督促核查:督促并监督漏洞管理活动的实施情况。
漏洞报告应包含的内容
报告人信息
姓名
组织
邮箱
是否公开身份
漏洞信息
漏洞名称
漏洞位置(相关产品/服务名称、版本、URL地址或者目录)
漏洞所属(关联厂商,信息系统管理者)
漏洞描述
漏洞复现方法
漏洞利用场景描述
漏洞预估等级
漏洞修复建议
2.4 信息安全技术 网络安全漏洞分类分级指南
2.4.1 漏洞分类
2.4.2 漏洞分级
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。