GTAG6：管理與審計(jì)IT課件

GTAG6：管理與審計(jì)IT漏洞Group6GTAG6：管理與審計(jì)IT漏洞Group61框架簡介漏洞管理的生命周期判斷一個(gè)組織的成熟度其他框架簡介21.1簡介（1）漏洞管理是什么？一個(gè)組織用來識別，評估和修正可能導(dǎo)致商業(yè)和安全風(fēng)險(xiǎn)的漏洞的過程和技術(shù)。實(shí)現(xiàn)有效率的漏洞管理的關(guān)鍵點(diǎn)是什么？

組織必須建立一個(gè)檢測，評估與規(guī)避漏洞的流程，使這些工作與整體的IT流程框架相結(jié)合。漏洞管理是否只是需要技術(shù)上的實(shí)現(xiàn)？

并非如此。最大的挑戰(zhàn)往往來自于如何激勵(lì)個(gè)人，從而推動高效的流程。1.1簡介（1）漏洞管理是什么？3本章將會幫助讀者了解下列內(nèi)容：1.了解漏洞管理流程2.能夠鑒別高效率與低效率組織。3.熟悉一個(gè)典型的進(jìn)化流程：從以技術(shù)為導(dǎo)向，到以風(fēng)險(xiǎn)為導(dǎo)向的，到以IT流程為導(dǎo)向的。4.為IT管理人員提供有關(guān)漏洞管理的向?qū)А?.使你能夠更好的向高層管理人員提供你的建議。本章將會幫助讀者了解下列內(nèi)容：41.2簡介（2）為什么管理IT漏洞如此重要？IT漏洞十分普遍，每天有12個(gè)新的IT漏洞被發(fā)現(xiàn)。IT漏洞包括密碼管理的缺乏，不合適的文件權(quán)限，薄弱的密碼控制與未調(diào)試好的應(yīng)用程序。糟糕的漏洞管理流程有哪些特征？(1)一段時(shí)間內(nèi)出現(xiàn)高于常規(guī)可接受數(shù)量的安全事件。

(2)由于未能系統(tǒng)性識別信息技術(shù)漏洞而導(dǎo)致關(guān)鍵資產(chǎn)暴露。

(3)未能完整評估與每一個(gè)漏洞相聯(lián)系的風(fēng)險(xiǎn)，未能優(yōu)化漏洞規(guī)避活動。

(4)由于信息技術(shù)管理與信息技術(shù)安全未能銜接好，導(dǎo)致無法良好控制和變更電腦資產(chǎn)。

(5)缺少資產(chǎn)管理系統(tǒng)。

(6)缺少一個(gè)能和弱點(diǎn)規(guī)避系統(tǒng)相協(xié)調(diào)的配置管理流程。1.2簡介（2）為什么管理IT漏洞如此重要？5如何有步驟的改進(jìn)漏洞管理？

(1)獲取來自執(zhí)行管理層的支持來識別和修正信息技術(shù)漏洞，并保證這樣的流程與組織本身對于風(fēng)險(xiǎn)的容忍程度相一致。

(2)獲取一份對所有IT資產(chǎn)與其漏洞的清單。

(3)優(yōu)化與商業(yè)風(fēng)險(xiǎn)相關(guān)的補(bǔ)救措施。

(4)通過向IT管理人員遞交計(jì)劃好的工作項(xiàng)目來修正漏洞。

(5)定時(shí)更新資產(chǎn)目錄，漏洞測試與修正過程。

(6)將自動化補(bǔ)丁管理與漏洞偵測技術(shù)運(yùn)用到極致。如何有步驟的改進(jìn)漏洞管理？6內(nèi)部審計(jì)師應(yīng)當(dāng)如何協(xié)助組織建立良好的漏洞管理系統(tǒng)？1.內(nèi)部審計(jì)師需要評估用來防范，偵測與規(guī)避過去的攻擊與未來可能發(fā)生不利事件的流程的有效性，并確保董事會已經(jīng)被告知所有重要的威脅，事件，漏洞與相應(yīng)措施。

2.內(nèi)部審計(jì)師需要協(xié)助IT管理人員識別可能的安全隱患和事故以滿足內(nèi)部管理需求與相關(guān)法律法規(guī)的要求，并且能提升他們對于漏洞管理的重視。對于IT安全管理流程未能正確識別和處理的事件，內(nèi)部審計(jì)師同樣需要加以識別.

內(nèi)部審計(jì)師應(yīng)當(dāng)如何協(xié)助組織建立良好的漏洞管理系統(tǒng)？7為什么漏洞管理必須與整個(gè)組織的其他管理系統(tǒng)整合？

隨著漏洞數(shù)量增加，對于從發(fā)現(xiàn)漏洞到立即解決流程的成功執(zhí)行是確保對組織正常運(yùn)營的保證。而這樣的執(zhí)行只有通過各系統(tǒng)之間的整合來做到。這樣的整合可以確保組織在面對錯(cuò)綜復(fù)雜的IT資產(chǎn)變更與優(yōu)化管理時(shí)游刃有余。為什么漏洞管理必須與整個(gè)組織的其他管理系統(tǒng)整合？8內(nèi)部審計(jì)師在漏洞管理環(huán)節(jié)上的工作范圍

內(nèi)部審計(jì)師在漏洞管理環(huán)節(jié)上的工作范圍

9GTAG6：管理與審計(jì)IT課件102.1漏洞管理的生命周期-綜述2.1漏洞管理的生命周期-綜述11GTAG6：管理與審計(jì)IT課件12漏洞管理的生命周期—4大步驟識別與確認(rèn)風(fēng)險(xiǎn)評估與優(yōu)化補(bǔ)救持續(xù)改進(jìn)漏洞管理的生命周期—4大步驟識別與確認(rèn)132.2識別與確認(rèn)系統(tǒng)范圍：如何確保管理人員能界定系統(tǒng)的合適的范圍？

審計(jì)師必須獲得一份組織中整個(gè)網(wǎng)絡(luò)分區(qū)的列表，例如有線和無線網(wǎng)絡(luò)，生產(chǎn)網(wǎng)絡(luò)，備用和行政網(wǎng)絡(luò)，傳輸網(wǎng)絡(luò)，實(shí)驗(yàn)室和測試網(wǎng)絡(luò)以及遠(yuǎn)程辦公室等。另外，最好還有一份能夠顯示不同網(wǎng)絡(luò)之間聯(lián)系網(wǎng)的圖表。

2.2識別與確認(rèn)系統(tǒng)范圍：如何確保管理人員能界定系統(tǒng)的合適14檢測漏洞：哪些IT資產(chǎn)需要被定期掃描或監(jiān)控？何謂掃描？何謂監(jiān)控？

所有連接到每一個(gè)網(wǎng)絡(luò)分塊的IT分塊都需要被定期掃描或監(jiān)控，包括商業(yè)應(yīng)用服務(wù)器設(shè)備，安全設(shè)備，通訊設(shè)備，網(wǎng)絡(luò)設(shè)備以及打印機(jī)。

所謂掃描，是指用來自動監(jiān)控其他應(yīng)用程序和IT資產(chǎn)弱點(diǎn)的網(wǎng)絡(luò)設(shè)備或?qū)ｉT化程序所執(zhí)行的流程。

所謂監(jiān)控，是指安裝在IT資產(chǎn)上的用來報(bào)告配置信息的軟件所執(zhí)行的流程。它同樣指一直監(jiān)聽網(wǎng)絡(luò)交通，報(bào)告或有選擇的屏蔽可能造成漏洞的惡意網(wǎng)絡(luò)交通的網(wǎng)絡(luò)設(shè)備所執(zhí)行的流程。證實(shí)發(fā)現(xiàn)：為什么需要去證實(shí)？

盡管漏洞掃描和監(jiān)控的精確度和復(fù)雜度已經(jīng)足夠好，但它們依然不是萬能的。有兩種錯(cuò)誤難以避免：漏報(bào)(falsenegative)與誤報(bào)（falsepositive).檢測漏洞：哪些IT資產(chǎn)需要被定期掃描或監(jiān)控？何謂掃描？何謂監(jiān)152.3風(fēng)險(xiǎn)評估與優(yōu)化風(fēng)險(xiǎn)評估：組織如何處理大量的可疑漏洞？什么情況下的漏洞不需要立即的補(bǔ)救？這樣的情況下，還有什么必須的步驟要做？

盡管有些時(shí)候不需要執(zhí)行完整的風(fēng)險(xiǎn)管理項(xiàng)目，但組織在面對大量的漏洞時(shí)必須執(zhí)行大量的微風(fēng)險(xiǎn)評估。

組織必須根據(jù)事先確定的可接受水平來確定不需要立即補(bǔ)救的漏洞來減少工作量（例如已有的安全控制已足夠避免被攻擊或被攻擊的IT資產(chǎn)價(jià)值不高）

組織必須批準(zhǔn)與完整記錄可接受的風(fēng)險(xiǎn)以避免重復(fù)評估。2.3風(fēng)險(xiǎn)評估與優(yōu)化風(fēng)險(xiǎn)評估：組織如何處理大量的可疑漏洞？16優(yōu)化漏洞：組織應(yīng)該根據(jù)哪些標(biāo)準(zhǔn)來確定漏洞補(bǔ)救的優(yōu)先順序？組織為什么需要回顧過去出現(xiàn)漏洞的原因？

組織應(yīng)當(dāng)根據(jù)有漏洞資產(chǎn)的關(guān)鍵性，攻擊的頻率和可能性優(yōu)化漏洞：組織應(yīng)該根據(jù)哪些標(biāo)準(zhǔn)來確定漏洞補(bǔ)救的優(yōu)先順序？組織173.補(bǔ)救規(guī)避關(guān)鍵漏洞：什么是故障通知單系統(tǒng)？建立一個(gè)漏洞規(guī)避流程：組織如何同時(shí)面對數(shù)以千計(jì)的漏洞？一個(gè)有效地漏洞管理項(xiàng)目的成功的關(guān)鍵取決于哪兩點(diǎn)？3.補(bǔ)救規(guī)避關(guān)鍵漏洞：什么是故障通知單系統(tǒng)？184.持續(xù)改進(jìn)停止漏洞繼續(xù)傳播：為什么漏洞被解決后需要通告其他部門？使用操作級別協(xié)議來設(shè)置期望值：為什么一個(gè)有效地漏洞補(bǔ)救系統(tǒng)往往復(fù)雜而冗長？OLA的出現(xiàn)對于漏洞管理有什么意義？借助自動化實(shí)現(xiàn)效率：以史為鑒4.持續(xù)改進(jìn)停止漏洞繼續(xù)傳播：為什么漏洞被解決后需要通告其他19組織成熟度低效率組織和高效率組織在生命循環(huán)中各有什么特征？組織成熟度低效率組織和高效率組織在生命循環(huán)中各有什么特征？20GTAG6：管理與審計(jì)IT漏洞Group6GTAG6：管理與審計(jì)IT漏洞Group621框架簡介漏洞管理的生命周期判斷一個(gè)組織的成熟度其他框架簡介221.1簡介（1）漏洞管理是什么？一個(gè)組織用來識別，評估和修正可能導(dǎo)致商業(yè)和安全風(fēng)險(xiǎn)的漏洞的過程和技術(shù)。實(shí)現(xiàn)有效率的漏洞管理的關(guān)鍵點(diǎn)是什么？

組織必須建立一個(gè)檢測，評估與規(guī)避漏洞的流程，使這些工作與整體的IT流程框架相結(jié)合。漏洞管理是否只是需要技術(shù)上的實(shí)現(xiàn)？

并非如此。最大的挑戰(zhàn)往往來自于如何激勵(lì)個(gè)人，從而推動高效的流程。1.1簡介（1）漏洞管理是什么？23本章將會幫助讀者了解下列內(nèi)容：1.了解漏洞管理流程2.能夠鑒別高效率與低效率組織。3.熟悉一個(gè)典型的進(jìn)化流程：從以技術(shù)為導(dǎo)向，到以風(fēng)險(xiǎn)為導(dǎo)向的，到以IT流程為導(dǎo)向的。4.為IT管理人員提供有關(guān)漏洞管理的向?qū)А?.使你能夠更好的向高層管理人員提供你的建議。本章將會幫助讀者了解下列內(nèi)容：241.2簡介（2）為什么管理IT漏洞如此重要？IT漏洞十分普遍，每天有12個(gè)新的IT漏洞被發(fā)現(xiàn)。IT漏洞包括密碼管理的缺乏，不合適的文件權(quán)限，薄弱的密碼控制與未調(diào)試好的應(yīng)用程序。糟糕的漏洞管理流程有哪些特征？(1)一段時(shí)間內(nèi)出現(xiàn)高于常規(guī)可接受數(shù)量的安全事件。

(2)由于未能系統(tǒng)性識別信息技術(shù)漏洞而導(dǎo)致關(guān)鍵資產(chǎn)暴露。

(3)未能完整評估與每一個(gè)漏洞相聯(lián)系的風(fēng)險(xiǎn)，未能優(yōu)化漏洞規(guī)避活動。

(4)由于信息技術(shù)管理與信息技術(shù)安全未能銜接好，導(dǎo)致無法良好控制和變更電腦資產(chǎn)。

(5)缺少資產(chǎn)管理系統(tǒng)。

(6)缺少一個(gè)能和弱點(diǎn)規(guī)避系統(tǒng)相協(xié)調(diào)的配置管理流程。1.2簡介（2）為什么管理IT漏洞如此重要？25如何有步驟的改進(jìn)漏洞管理？

(1)獲取來自執(zhí)行管理層的支持來識別和修正信息技術(shù)漏洞，并保證這樣的流程與組織本身對于風(fēng)險(xiǎn)的容忍程度相一致。

(2)獲取一份對所有IT資產(chǎn)與其漏洞的清單。

(3)優(yōu)化與商業(yè)風(fēng)險(xiǎn)相關(guān)的補(bǔ)救措施。

(4)通過向IT管理人員遞交計(jì)劃好的工作項(xiàng)目來修正漏洞。

(5)定時(shí)更新資產(chǎn)目錄，漏洞測試與修正過程。

(6)將自動化補(bǔ)丁管理與漏洞偵測技術(shù)運(yùn)用到極致。如何有步驟的改進(jìn)漏洞管理？26內(nèi)部審計(jì)師應(yīng)當(dāng)如何協(xié)助組織建立良好的漏洞管理系統(tǒng)？1.內(nèi)部審計(jì)師需要評估用來防范，偵測與規(guī)避過去的攻擊與未來可能發(fā)生不利事件的流程的有效性，并確保董事會已經(jīng)被告知所有重要的威脅，事件，漏洞與相應(yīng)措施。

2.內(nèi)部審計(jì)師需要協(xié)助IT管理人員識別可能的安全隱患和事故以滿足內(nèi)部管理需求與相關(guān)法律法規(guī)的要求，并且能提升他們對于漏洞管理的重視。對于IT安全管理流程未能正確識別和處理的事件，內(nèi)部審計(jì)師同樣需要加以識別.

內(nèi)部審計(jì)師應(yīng)當(dāng)如何協(xié)助組織建立良好的漏洞管理系統(tǒng)？27為什么漏洞管理必須與整個(gè)組織的其他管理系統(tǒng)整合？

隨著漏洞數(shù)量增加，對于從發(fā)現(xiàn)漏洞到立即解決流程的成功執(zhí)行是確保對組織正常運(yùn)營的保證。而這樣的執(zhí)行只有通過各系統(tǒng)之間的整合來做到。這樣的整合可以確保組織在面對錯(cuò)綜復(fù)雜的IT資產(chǎn)變更與優(yōu)化管理時(shí)游刃有余。為什么漏洞管理必須與整個(gè)組織的其他管理系統(tǒng)整合？28內(nèi)部審計(jì)師在漏洞管理環(huán)節(jié)上的工作范圍

內(nèi)部審計(jì)師在漏洞管理環(huán)節(jié)上的工作范圍

29GTAG6：管理與審計(jì)IT課件302.1漏洞管理的生命周期-綜述2.1漏洞管理的生命周期-綜述31GTAG6：管理與審計(jì)IT課件32漏洞管理的生命周期—4大步驟識別與確認(rèn)風(fēng)險(xiǎn)評估與優(yōu)化補(bǔ)救持續(xù)改進(jìn)漏洞管理的生命周期—4大步驟識別與確認(rèn)332.2識別與確認(rèn)系統(tǒng)范圍：如何確保管理人員能界定系統(tǒng)的合適的范圍？

審計(jì)師必須獲得一份組織中整個(gè)網(wǎng)絡(luò)分區(qū)的列表，例如有線和無線網(wǎng)絡(luò)，生產(chǎn)網(wǎng)絡(luò)，備用和行政網(wǎng)絡(luò)，傳輸網(wǎng)絡(luò)，實(shí)驗(yàn)室和測試網(wǎng)絡(luò)以及遠(yuǎn)程辦公室等。另外，最好還有一份能夠顯示不同網(wǎng)絡(luò)之間聯(lián)系網(wǎng)的圖表。

2.2識別與確認(rèn)系統(tǒng)范圍：如何確保管理人員能界定系統(tǒng)的合適34檢測漏洞：哪些IT資產(chǎn)需要被定期掃描或監(jiān)控？何謂掃描？何謂監(jiān)控？

所有連接到每一個(gè)網(wǎng)絡(luò)分塊的IT分塊都需要被定期掃描或監(jiān)控，包括商業(yè)應(yīng)用服務(wù)器設(shè)備，安全設(shè)備，通訊設(shè)備，網(wǎng)絡(luò)設(shè)備以及打印機(jī)。

所謂掃描，是指用來自動監(jiān)控其他應(yīng)用程序和IT資產(chǎn)弱點(diǎn)的網(wǎng)絡(luò)設(shè)備或?qū)ｉT化程序所執(zhí)行的流程。

所謂監(jiān)控，是指安裝在IT資產(chǎn)上的用來報(bào)告配置信息的軟件所執(zhí)行的流程。它同樣指一直監(jiān)聽網(wǎng)絡(luò)交通，報(bào)告或有選擇的屏蔽可能造成漏洞的惡意網(wǎng)絡(luò)交通的網(wǎng)絡(luò)設(shè)備所執(zhí)行的流程。證實(shí)發(fā)現(xiàn)：為什么需要去證實(shí)？

盡管漏洞掃描和監(jiān)控的精確度和復(fù)雜度已經(jīng)足夠好，但它們依然不是萬能的。有兩種錯(cuò)誤難以避免：漏報(bào)(falsenegative)與誤報(bào)（falsepositive).檢測漏洞：哪些IT資產(chǎn)需要被定期掃描或監(jiān)控？何謂掃描？何謂監(jiān)352.3風(fēng)險(xiǎn)評估與優(yōu)化風(fēng)險(xiǎn)評估：組織如何處理大量的可疑漏洞？什么情況下的漏洞不需要立即的補(bǔ)救？這樣的情況下，還有什么必須的步驟要做？

盡管有些時(shí)候不需要執(zhí)行完整的風(fēng)險(xiǎn)管理項(xiàng)目，但組織在面對大量的漏洞時(shí)必須執(zhí)行大量的微風(fēng)險(xiǎn)評估。

組織必須根據(jù)事先確定的可接受水平來確定不需要立即補(bǔ)救的漏洞來減少工作量（例如已有的安全控制已足夠避免被攻擊或被攻擊的IT資產(chǎn)價(jià)值不高）

組織必須批準(zhǔn)與完整記錄可接受的風(fēng)險(xiǎn)以避免重復(fù)評估。2.3風(fēng)險(xiǎn)評估與優(yōu)化風(fēng)險(xiǎn)評估：組織如何處理大量的可疑漏洞？36優(yōu)化漏洞：組織應(yīng)該根據(jù)哪些標(biāo)準(zhǔn)來確定漏洞補(bǔ)救的優(yōu)先順序？組織為什么需要回顧過去出現(xiàn)漏洞的原因？

組織應(yīng)當(dāng)根據(jù)有漏洞資產(chǎn)的關(guān)鍵性，攻擊的頻率和可能性優(yōu)化漏洞：組織應(yīng)該根據(jù)哪些標(biāo)準(zhǔn)來確定漏洞補(bǔ)救的優(yōu)先順序？組織373.補(bǔ)救規(guī)避關(guān)鍵漏洞：什么是故障通知單