3天前来源:CodeSec
虽然现在外面有很多人都非常愿意帮助你的企业去解决你们的安全问题,但企业是不是也应该思考一下如何通过自己的努力来处理这些安全问题呢?
你的企业环境中是否存在安全问题呢?这种可能性很高,但是你无法保证第一个发现这个安全漏洞的人是你公司的技术人员。就算你是那个幸运儿,就算你的企业既没有发生过数据泄漏,也没有遭受过勒索软件的攻击,但你肯定也从某位安全专家或者某位专业客户的口中了解过这些安全问题。他们的善意提醒,你是否真的听进了呢?
Troy Hunt是一位安全顾问,他自己也在管理着一个网站,如果你怀疑自己的账号被入侵或者数据库发生了泄漏,那么你就可以访问这个网站来进行确认。而他的这一角色则要求他需要经常与其他的企业或组织联系,以沟通数据泄漏和安全漏洞等问题。
Troy Hunt表示:“很多企业并不会去理睬这些所谓的善意提醒。我当初在网上发现了印度病理实验室的四万多名病人的医疗报告,其中还包括很多敏感信息,这些数据全部被公开在网上了。当时我便第一时间与实验室取得了联系,但并没有起到什么效果。而且我发现,想要与某个公司去沟通这些安全问题,其实是非常困难的,大型公司也不例外。我也发现过很多次数据泄漏事件,但我真的没办法联系到相关组织。他们的联系邮箱在不停的变换,就连网站域名的WHOIS信息中的联系方式都在不断变换。”
另一位不愿透露姓名的安全专家表示,他曾在一家大型网上商城中发现了一个SQL注入漏洞,但网站并没有留下任何的联系方式,他们只在网站中提供了一个用于提交问题的表单。大约在十天之后,该商城才通知他说相关问题已经上报给商城管理员了。而两天之后,他竟然收到了一份关于商城客户服务体验度的问卷调查。直到目前为止,该商城都没有去处理这个安全漏洞。
响应速度慢也是很正常的,因为很多大型组织中并没有安排技术人员来专门负责处理安全漏洞,而且也没有部署任何的安全响应策略。Hunt说到:“他当初曾在网上发现了Michael Page公司(一家专业从事职位招聘和人力解决方案的服务机构)的客户数据库备份,当他将此事件告知该公司之后,他们竟然花了一周的时间才弄清楚到底发生了什么。”
研究人员在2015年曾对福布斯全球2000强企业进行过一项调查,调查结果显示:在所有的调查对象中,只有6%的企业对外公开了漏洞提交方法。而且,直到2016年11月,美国国防部才制定并公开了自己的漏洞提交政策。政策中详细描述了漏洞提交步骤以及安全专家会在何时得到回复。那么对于普通的企业来说,你们是不是也应该有自己的漏洞提交以及漏洞处理政策呢?
及时联系,及时处理大多数安全专家在发现漏洞之后,第一件事就是通知相关组织。但是如何才能获取到联系方式呢?Hunt认为:“我希望每一个网站都能写上管理员的联系方式,如果我想与他们交流安全问题的话,这也许是最快的方法。”
在了解到安全问题之后,你也需要用正确的方法来解决这些问题,这也就意味着你必须提前部署好安全响应机制。每一家公司在解决了一个安全问题之后,都应该发表一份声明来描述自己系统中的漏洞,并告诉大家他们是如何解决这个问题的。你脑袋里应该十分清楚整个漏洞处理流程,例如如何回复漏洞提交人员、如何修复安全漏洞、以及如何披露漏洞信息等等。
安全公司Tripwire的产品副总裁Dwayne Melancon认为:
“企业不仅需要制定漏洞处理方案,而且还要专门开设一个“邮箱”之类的东西来处理安全人员提交上来的漏洞报告。除此之外,企业还要对这些漏洞报告进行归档和记录。你需要对这些安全报告进行分类,你需要了解这些安全问题是否真实存在,它们到底有多严重,以及它们会给企业带来怎样的影响等等。
如果这个漏洞是一个高危漏洞,并且会严重企业业务的正常运作,那么这个漏洞就得是你的安全技术人员需要优先处理的问题。相反,如果只是密码政策的问题,那么就应该由客服来与客户直接沟通,而不需要专业的安全技术人员来处理了。虽然密码问题听起来没有安全漏洞那么严重,但企业仍然要重视这方面的问题,而正确处理密码问题的前提就是企业必须拥有良好的安全基础。”
不要忽略任何一个“小”问题,某些严重漏洞都是由各种各样的小问题造成的。所以在实现安全策略的时候,一定要对安全防御机制中的任何一个部分进行深入地检查,这对企业来说绝对是有百利而无一害的。
除此之外,企业也应该重视社交媒体所带来的负面效应。有的用户可能会在Twitter或者Facebook上吐槽一些东西,而你最不愿看到的就是用户在社交媒体上公开讨论你企业系统中的安全问题。
培养企业的安全文化
首先,当你听到有人说你的系统中存在安全漏洞时,请不要产生敌对心理。也许当你一开始听到这个消息时你会觉得很尴尬,但你至少要给这些敢于跟你讨论安全问题的人起码的尊重和感激。这些人是带着善意来帮助你的,如果安全漏洞落入了坏人之手,你可以想象一下你的企业会经历怎样的灾难。
除了你的安全团队之外,你的工程师团队同样要有这种意识。因为一般来说,负责修复这些安全漏洞的人是你公司的IT工程师,而基本上漏洞信息也会在第一时间报告给他们,所以企业安全文化对于安全团队和技术团队来说都是很重要的。如果你的技术人员一看到安全部门的人过来敲门,心里就想“这些家伙一来准没好事”的话,那么你的企业安全文化就有大问题了。
实际上,处理漏洞报告的流程应该成为你设计、部署、以及测试系统的一个环节。你的系统何时被启动,何时被更新,团队的所有人都应该十分清楚。尤其是工程师团队、产品团队、法律团队和客服团队,当有人提交漏洞报告的时候,团队中的每一个人都不应该对此表示惊讶。
简而言之,所得的企业安全文化就是让公司里的每一个人都认为安全是最重要的东西,而修复外部人员提交的安全漏洞是他们所有工作中的重中之重,应该得到优先处理。优秀的企业安全文化可以更好地帮助你去处理严重的安全漏洞,企业内部团队之间的沟通和交流将会更加顺畅,团队间的工作也会结合得更加紧密。
可能很少人知道漏洞披露和漏洞处理流程也有其相应的ISO标准,如果你正在寻找一种常规的漏洞报告处理方案,你不妨考虑一下它们【免费下载】。如果你想知道你的企业是否能够有效处理漏洞报告的话,你可以在这个漏洞协调成熟度模型【传送门】中找到答案。
