對於組織來說,「弱點管理」始終是很複雜的事情。
什麼是弱點(vulnerability)?弱點就像是人體身上有功能比較不健全的地方,有些人呼吸器官功能不良,從小就患有氣喘;有些人血液血糖不足,就可能產生暈眩。弱點猶如自身的脆弱點,一旦外部威脅來臨(空氣品質不良)弱點就會顯露無疑(造成了氣喘),彼此是相應的因果。 在資安中所稱的弱點,大多數會讓人聯想到系統或軟體的漏洞,包括公開情資來源像是美國NIST NVD(https://nvd.nist.gov/)或台灣的TWCERT/CC的漏洞警訊(https://www.twcert.org.tw/tw/np-167-1.html),以及廠商自行公開說明的網頁(像是Fortinet ,https://fortiguard.fortinet.com/psirt)。先前我們談論的威脅情資的種類與價值一文中就包括漏洞情資。當組織知悉漏洞情資,就應該考慮進行漏洞修補,否則漏洞可能很會被駭客所利用作為非法用途。
漏洞修補屬於弱點管理的一環,更積極的動作則是透過「弱點掃描」或「滲透測試」主動發掘更全面的系統或軟體漏洞資訊,其檢測的結果應包括各種風險的等級與影響說明,甚至是修補方式的建議(參考圖1)。
圖1 弱點掃描報告摘要
不論是蒐集威脅情資或是實施了弱點掃描,然而接下來才是最關鍵的地方,也就是弱點管理的線性策略(參考圖2)。
圖2 弱點管理線性策略
我們知道修補漏洞並非來得那麼迅速,組織也必須要量相關的資源,包括負責的人力、進行修補的時間及弱點修補的風險等級,有些組織會考量以「高風險」為修補指標,低於高風險的漏洞則不再進行修補,減少資源的消耗;有些組織會以系統穩定性做考量,即使是具備高風險漏洞依然優先考量系統的可用性,數周甚至數月下來一樣不見修補的動作,但這是比較不好的策略。
此外,隨著時間過去,系統或軟體被揭露的漏洞數量會增加(包括已知與新增的項目),若不考慮弱點管理的線性策略,則漏洞數量有可能再次提高,甚至根據近期的研究指出,即使超過5年的漏洞,都可能被攻擊者拿來利用。因此我們建議組織應該要明確定義漏洞修補的條件,再最不影響系統運作的條件下都要完成弱點修補。例如以「測試環境」或「建置另一個相同環境」進行系統漏洞的修補,確認系統漏洞修補的情形,也可以提供原本系統正常穩定的功能。
以ISO 27001角度來看,優先考慮「A.8.8 技術脆弱性管理」控制措施,完成弱點管理的線性策略,同時考量建立測試環境避免影響正式(參考A.8.31 開發、測試與運作環境之區隔),將有助於組織面對不易管理的弱點議題。
作者:潘柏廷 Conrad Pan
現職:亞瑟國際驗證專任資安技術專家,資深資安教育者,曾任資安輔導顧問,專長領域為資安、個資、人工智慧
