透過有效管理 ISO 27001:2022 控制措施 A.8.08 和 A.8.09 中的漏洞和配置來減輕威脅

A.8.8 技術漏洞管理

這項控制措施的目的正如其標題所示…是為了防止技術漏洞被利用。

為了管理技術漏洞，資產登記冊已確定。 A.5.9 - 這篇文章中已介紹應該使用，因為它將包含每個系統的所有信息，包括其當前版本、負責人以及供應商詳細信息。

應明確漏洞管理各方面的角色和職責，包括監控、漏洞風險評估、更新、資產追蹤。

技術漏洞管理需要一套處理流程：

• 識別技術漏洞
• 技術漏洞評估
• 解決技術漏洞

漏洞識別

根據漏洞的性質和系統的性質，可以透過多種方式識別和發現漏洞。

可以使用漏洞掃描或評估工具來識別任何漏洞，並驗證修補程式是否已成功修復。此外，授權人員可以規劃和執行滲透測試，以支援漏洞識別。

確保追蹤所有第三方軟體和庫，並監控支援資源，以便及時了解漏洞和問題，或接收其他方或軟體使用者發現的漏洞報告。

漏洞評估

應透過分析和驗證收到的任何報告來評估漏洞，然後確定下一步行動方案來應對和解決問題。

一旦發現潛在漏洞，就應確定所有相關風險以及需要採取的措施。通常，所需的措施包括更新存在漏洞的系統或函式庫，或應用其他控制措施。

解決漏洞

解決漏洞通常涉及為軟體或系統應用最新的修補程式和應用程式更新。

通常情況下，供應商會自動發布系統修補程式和更新，尤其是您可能使用的雲端服務供應商或其他SaaS產品。請確保這些補丁和更新包含在您與他們簽訂的任何服務等級協定 (SLA) 中。

在確定如何解決漏洞時，應考慮與該漏洞相關的風險以及修復所需的工作。根據修復的緊迫性和風險，應按照 A.8.32 中概述的變更管理程序或 A.5.26 中概述的資訊安全事件回應程序來實施相關措施。
與其他任何變更一樣，任何補救措施都應進行測試，以確認其有效性，且不會導致功能倒退。如果第三方程式庫或系統的更新包含破壞性變更，則還需要評估和規劃更新受影響的其他功能所需的工作量。
對於那些無法立即修復的漏洞，或需要等待軟體更新發布才能修復的漏洞，可以考慮其他控制措施，例如供應商或其他相關來源建議的變通方案。這些措施還可以包括透過適當的流量過濾器來保護易受攻擊的系統、裝置或應用程式。
毋庸置疑，技術漏洞管理流程的所有步驟都應該保留稽核日誌，並且該流程應與事件管理流程和變更管理流程保持一致。

A.8.9 配置管理

此控制措施旨在確保您的系統在必要的安全設定下正常運行，並且配置不會被未經授權或不正確的變更所篡改。這適用於您的硬體、軟體、服務和網路功能。

系統配置流程應使用既定的流程和工具進行定義和實施，以確保配置的有效性。流程應明確控制所有配置變更所需的角色和職責。

您的配置應基於您為每個系統開發的標準範本。建立模板時，應考慮以下事項：

• 最大限度地減少具有管理員級別存取權限的身份
• 停用或限制不必要的功能或服務
• 安裝後立即更改供應商預設身份驗證訊息
• 確保滿足許可要求

任何配置變更都應記錄在日誌中，並妥善保存。設定資訊也應包含在系統管理工具中，包括維護工具、企業管理工具、備份和復原工具。

其他貼文

• 本系列其他文章請見： ISO 27001實施的策略方法
• 閱讀本系列的前一篇：優化容量和防禦惡意軟體：A.8.06 和 A.8.07 詳解
• 閱讀本系列下一篇：如果沒有它，惡意行為者就無法取得它。使用控制措施 A.8.10 和 A.8.11 刪除、封鎖和防止資料外洩。