ISO 27002:2022, Kiểm soát 8.8 – Quản lý lỗ hổng kỹ thuật

Mục đích của Kiểm soát 8.8

Không có mạng máy tính, hệ thống, phần mềm hoặc thiết bị nào an toàn 100%. Lỗ hổng là một phần không thể thiếu khi vận hành mạng LAN hoặc WAN hiện đại và điều quan trọng là các tổ chức phải thừa nhận rằng trước tiên, chúng tồn tại và thứ hai, cần phải giảm thiểu rủi ro khi chúng có khả năng xảy ra.

Control 8.8 chứa một lượng lớn lời khuyên giúp các tổ chức ngăn chặn việc khai thác lỗ hổng bên trong và bên ngoài trên toàn bộ mạng của họ. Control 8.8 dựa vào các quy trình và hướng dẫn hỗ trợ từ nhiều biện pháp kiểm soát ISO 27002:2022 khác, đặc biệt là những biện pháp liên quan đến quản lý thay đổi (xem Control 8.32) và các giao thức kiểm soát truy cập.

Bảng Thuộc tính

Kiểm soát 8.8 là biện pháp kiểm soát phòng ngừa giúp duy trì rủi ro bằng cách triển khai các quy trình thu thập thông tin về lỗ hổng kỹ thuật và cho phép tổ chức thực hiện các biện pháp thích hợp để bảo vệ tài sản, hệ thống, dữ liệu và phần cứng.

Quyền sở hữu kiểm soát 8.8

Kiểm soát 8.8 liên quan đến quản lý kỹ thuật và hành chính của phần mềm, hệ thống và tài sản CNTT. Một số hướng dẫn liên quan đến việc triển khai phương pháp tiếp cận rất chi tiết đối với quản lý phần mềm, quản lý tài sản và kiểm toán bảo mật mạng.

Do đó, quyền sở hữu Kiểm soát 8.8 phải thuộc về cá nhân chịu trách nhiệm chung trong việc duy trì cơ sở hạ tầng CNTT của tổ chức, chẳng hạn như Trưởng phòng CNTT hoặc cấp quản lý tương đương trong tổ chức.

Hướng dẫn – Xác định lỗ hổng

Trước khi triển khai và kiểm soát lỗ hổng, điều cần thiết là phải có danh sách đầy đủ và cập nhật các tài sản vật lý và kỹ thuật số (xem Kiểm soát 5.9 và 5.14) do tổ chức sở hữu và vận hành.

Thông tin về tài sản phần mềm phải bao gồm:

• Tên nhà cung cấp
• Tên ứng dụng
• Số phiên bản hiện đang hoạt động
• Nơi phần mềm được triển khai trên toàn bộ khu đất

Khi cố gắng xác định lỗ hổng kỹ thuật, các tổ chức nên:

1. Nêu rõ ai (trong tổ chức) chịu trách nhiệm quản lý lỗ hổng theo góc độ kỹ thuật, phù hợp với các chức năng khác nhau của tổ chức, bao gồm (nhưng không giới hạn ở):
2. Quản lý tài sản
3. Đánh giá rủi ro
4. Giám sát
5. Đang cập nhật
6. Ai chịu trách nhiệm về phần mềm trong tổ chức
7. Duy trì danh mục các ứng dụng và tài nguyên sẽ được sử dụng để xác định lỗ hổng kỹ thuật.
8. Yêu cầu các nhà cung cấp và người bán tiết lộ các lỗ hổng khi cung cấp hệ thống và phần cứng mới (xem Kiểm soát 5.20) và chỉ định như vậy trong tất cả các hợp đồng và thỏa thuận dịch vụ có liên quan.
9. Sử dụng các công cụ quét lỗ hổng, bao gồm cả chức năng vá lỗi.
10. Thực hiện các cuộc kiểm tra thâm nhập thường xuyên và có ghi chép – nội bộ hoặc thông qua bên thứ ba được chứng nhận.
11. Hãy lưu ý khi sử dụng thư viện mã của bên thứ ba và/hoặc mã nguồn để tìm lỗ hổng lập trình cơ bản (xem Kiểm soát 8.28).

Hướng dẫn – Hoạt động công cộng

Ngoài các hệ thống nội bộ, các tổ chức nên phát triển các chính sách và quy trình phát hiện lỗ hổng trên tất cả các sản phẩm và dịch vụ của mình và nhận đánh giá lỗ hổng liên quan đến việc cung cấp các sản phẩm và dịch vụ đó.

ISO khuyên các tổ chức nên nỗ lực công khai để theo dõi mọi lỗ hổng và khuyến khích các bên thứ ba tham gia vào các nỗ lực quản lý lỗ hổng thông qua việc sử dụng các chương trình tiền thưởng (trong đó các lỗ hổng sẽ được tìm kiếm và báo cáo cho tổ chức để nhận phần thưởng).

Các tổ chức nên công khai thông tin của mình với công chúng thông qua các diễn đàn, địa chỉ email công khai và hoạt động nghiên cứu để có thể sử dụng kiến ​​thức chung của công chúng nhằm bảo vệ sản phẩm và dịch vụ ngay từ nguồn.

Khi hành động khắc phục đã được thực hiện ảnh hưởng đến người dùng hoặc khách hàng, các tổ chức nên cân nhắc việc công bố thông tin có liên quan cho các cá nhân hoặc tổ chức bị ảnh hưởng và hợp tác với các tổ chức bảo mật chuyên gia để phổ biến thông tin về lỗ hổng và phương thức tấn công.

Ngoài ra, các tổ chức nên cân nhắc cung cấp quy trình cập nhật tự động mà khách hàng có thể lựa chọn tham gia hoặc không tham gia dựa trên nhu cầu kinh doanh của họ.

Hướng dẫn – Đánh giá lỗ hổng

Báo cáo đầy đủ là chìa khóa để đảm bảo hành động khắc phục nhanh chóng và hiệu quả khi phát hiện ra lỗ hổng.

Khi đánh giá lỗ hổng, các tổ chức nên:

1. Phân tích cẩn thận mọi báo cáo và quyết định hành động cần thực hiện, bao gồm (nhưng không giới hạn ở) việc sửa đổi, cập nhật hoặc xóa các hệ thống và/hoặc phần cứng bị ảnh hưởng.
2. Thống nhất một nghị quyết có tính đến các biện pháp kiểm soát ISO khác (đặc biệt là các biện pháp liên quan đến ISO 27002:2022) và thừa nhận mức độ rủi ro liên quan.

Hướng dẫn – Chống lại lỗ hổng phần mềm

Cách tốt nhất để khắc phục lỗ hổng phần mềm là áp dụng biện pháp chủ động trong việc cập nhật phần mềm và quản lý bản vá.

Trước khi thực hiện bất kỳ sửa đổi nào, các tổ chức phải đảm bảo rằng các phiên bản phần mềm hiện hành được giữ nguyên, mọi thay đổi đều được kiểm tra đầy đủ và áp dụng cho một bản sao được chỉ định của phần mềm.

Khi trực tiếp giải quyết các lỗ hổng sau khi đã xác định được, các tổ chức nên:

1. Cố gắng giải quyết mọi lỗ hổng một cách kịp thời và hiệu quả.
2. Khi có thể, hãy tuân theo các quy trình của tổ chức về quản lý thay đổi (xem Kiểm soát 8.32) và ứng phó sự cố (xem Kiểm soát 5.26).
3. Chỉ áp dụng các bản cập nhật và bản vá đến từ các nguồn đáng tin cậy và/hoặc được chứng nhận, đặc biệt là phần mềm và thiết bị của bên thứ ba.
4. Đối với phần mềm của nhà cung cấp, các tổ chức nên đưa ra phán đoán dựa trên thông tin có sẵn về việc liệu có cần áp dụng các bản cập nhật tự động (hoặc một phần của bản cập nhật) cho phần mềm và phần cứng đã mua hay không.
5. Kiểm tra mọi bản cập nhật cần thiết trước khi cài đặt để tránh mọi sự cố không lường trước trong môi trường hoạt động.
6. Ưu tiên giải quyết các hệ thống có rủi ro cao và quan trọng đối với doanh nghiệp.
7. Đảm bảo rằng mọi hành động khắc phục đều có hiệu quả và xác thực.

Trong trường hợp không có bản cập nhật hoặc có bất kỳ vấn đề nào ngăn cản việc cài đặt bản cập nhật (chẳng hạn như vấn đề về chi phí), các tổ chức nên cân nhắc các biện pháp khác, chẳng hạn như:

1. Yêu cầu nhà cung cấp tư vấn về giải pháp tạm thời hoặc giải pháp “tạm thời” trong khi nỗ lực khắc phục đang được đẩy mạnh.
2. Vô hiệu hóa hoặc dừng bất kỳ dịch vụ mạng nào bị ảnh hưởng bởi lỗ hổng bảo mật.
3. Triển khai các biện pháp kiểm soát bảo mật mạng tại các điểm cổng quan trọng, bao gồm các quy tắc lưu lượng và bộ lọc.
4. Tăng cường mức độ giám sát tổng thể theo mức độ rủi ro liên quan.
5. Đảm bảo tất cả các bên bị ảnh hưởng đều biết về lỗ hổng bảo mật, bao gồm nhà cung cấp và khách hàng.
6. Trì hoãn việc cập nhật để đánh giá tốt hơn các rủi ro liên quan, đặc biệt là khi chi phí hoạt động có thể là một vấn đề.

Hỗ trợ điều khiển

• 5.14
• 5.20
• 5.9
• 8.20
• 8.22
• 8.28

Hướng dẫn bổ sung về Kiểm soát 8.8

• Các tổ chức nên lưu nhật ký kiểm tra tất cả các hoạt động quản lý lỗ hổng có liên quan để hỗ trợ các nỗ lực khắc phục và cải thiện quy trình trong trường hợp xảy ra sự cố bảo mật.
• Toàn bộ quy trình quản lý lỗ hổng cần được xem xét và đánh giá định kỳ để cải thiện hiệu suất và xác định thêm nhiều lỗ hổng ngay tại nguồn.
• Nếu tổ chức sử dụng phần mềm do nhà cung cấp dịch vụ đám mây lưu trữ, tổ chức đó phải đảm bảo rằng quan điểm của nhà cung cấp dịch vụ đối với việc quản lý lỗ hổng phải phù hợp với quan điểm của tổ chức và phải là một phần quan trọng của bất kỳ thỏa thuận dịch vụ ràng buộc nào giữa hai bên, bao gồm mọi quy trình báo cáo (xem Kiểm soát 5.32).

Những thay đổi và khác biệt so với ISO 27002:2013

ISO 27002:2022-8.8 thay thế hai điều khiển từ ISO 27002:2013:

• 12.6.1 – Quản lý lỗ hổng kỹ thuật
• 18.2.3 – Đánh giá tuân thủ kỹ thuật

27002:2022-8.8 thể hiện cách tiếp cận quản lý lỗ hổng về cơ bản khác với cách tiếp cận có trong 27002:2013.

27002:2013-12.6.1 chủ yếu liên quan đến việc triển khai hành động khắc phục sau khi lỗ hổng đã được xác định, trong khi 18.2.3 chỉ giới hạn ở các công cụ kỹ thuật (chủ yếu là thử nghiệm thâm nhập).

27002:2022-8.8 bao gồm các phần hoàn toàn mới về các chủ đề như hoạt động công khai của tổ chức, cách xác định lỗ hổng ngay từ đầu và vai trò của nhà cung cấp dịch vụ đám mây trong việc đảm bảo giảm thiểu lỗ hổng.

Nhìn chung, ISO nhấn mạnh nhiều hơn vào vai trò của quản lý lỗ hổng trong các lĩnh vực khác của 27002:2022 (đặc biệt là quản lý thay đổi) và ủng hộ phương pháp tiếp cận toàn diện kết hợp nhiều biện pháp kiểm soát và quy trình bảo mật thông tin khác