PSIRT 遵循 ISO/IEC 30111 和 ISO/IEC 29147 等标准来指导漏洞处理和披露流程。这些标准提供了一种条理清晰的方法来识别、分析和缓解产品中的安全问题,从而确保响应措施一致、有效并符合国际安全期望。
PSIRT 或产品安全事件响应团队是企业内处理和响应其产品或服务相关安全事件的团队。PSIRT 的主要目的是对可能影响企业产品安全性的漏洞或威胁进行识别、评估、排列优先级和应对。
计算机安全事件响应团队 (CSIRT) 是信息安全部门内部的一个长期固定组成部分。来自企业不同领域的专家组成 CSIRT 团队,负责应对数据泄露等安全事件。近年来,技术产品制造商已开发出内部版本的 CSIRT,称为产品安全事件响应团队 (PSIRT),负责应对公司自身产品中的漏洞。随着科技公司认识到其产品通常在客户安全事件中扮演怎样的角色,并力求避免此类事件或减轻其影响,PSIRT 应运而生。
什么是 PSIRT?
PSIRT 通常由公司员工组成,有时会有承包商和顾问作为补充,其核心职责是识别、评估并修复公司产品中的安全漏洞。例如,某服务器软件制造商的 PSIRT 可能发现,其固件包含黑客可利用来接管服务器的代码。为了修复此漏洞,PSIRT 将分析该漏洞,找到相关代码的安全替代方案,并将其提供给工程团队。
在组织架构层面,PSIRT 通常隶属于公司的安全工程部门。这种方法有助于确保 PSIRT 的职能为公司安全开发生命周期 (SDL) 做出贡献。PSIRT 还可以参与需求收集和风险建模,目的是在产品中构建安全性。
PSIRT 为什么重要?
出于多方面的原因,PSIRT 非常重要。有效的 PSIRT 至少有助于确保更高的产品质量和更少的安全补丁更新。这些成果不仅能降低成本,还能通过避免表现出对产品安全松懈的态度来维护品牌形象。
一个更重要的问题是,人们日益认识到,个别技术产品可能成为客户风险的主要来源。例如,物联网设备制造商很可能不希望他们的设备成为客户数据泄露的源头。这类事件处理起来既尴尬又代价高昂,尤其是当设备制造商毫无准备,在数据泄露发生后仓促寻找解决方案时。若设备制造商设有 PSIRT,则可能完全规避风险,或至少能立即有效地应对问题。
PSIRT 的组成部分
顾名思义,PSIRT 是团队,因此其最重要的组成部分是人员。产品安全事件响应团队成员必须在网络安全的不同方面具备专业知识和经验。有些成员可能是应用程序安全领域的专家。其他成员可能具备开源安全方面的经验,诸如此类。在大型公司中,PSIRT 可能是一支专门的全职团队。在小型企业中,PSIRT 可能由少量全职员工组成的核心团队构成,并得到组织中其他部门人员的补充,这些人员在需要时可协助进行事件响应或漏洞分析。
PSIRT 经理是 PSIRT 取得成功的重要人物。他们不但必须是优秀的管理者,还必须擅长制定策略、流程和程序,以使 PSIRT 能够履行其职责。他们需要具备良好的沟通能力,并擅长处理围绕产品安全所衍生的复杂组织动态。
此外,PSIRT 团队还要与其他部门保持联系,例如法务部和合规部。例如,航空电子设备制造商受 FAA 有关产品漏洞披露的法规的约束。PSIRT 可能是这一合规领域的关键参与者。PSIRT 还将与公司的传播部门保持联系,例如,与公共关系团队就公开披露安全问题或针对客户企业安全事件的声明开展协作。
PSIRT 的工作方式是怎样的?
运转良好的 PSIRT 将根据既定政策和程序开展工作。与 CSIRT 一样,PSIRT 始终会尝试在安全的环境中重现漏洞。随后,PSIRT 可根据对漏洞严重程度的认知以及对其对产品影响的估计,选择通知管理层。如果管理层决定披露该漏洞,PSIRT 将在公告过程中与相关利益相关者协作。
该团队随后将确定缓解漏洞的方法,并启动修复过程。这将涉及与产品管理团队(负责已上市产品的团队)合作制定修复计划。
在某些情况下,公司会从第三方获悉漏洞信息。发生这种情况时,PSIRT 需要评估漏洞并就给出应对建议。例如,如果某设备使用特定版本的 Linux 操作系统,而漏洞查找团队在该 Linux 版本中发现漏洞利用方式,PSIRT 需要制定应对计划,并与客户沟通相关情况。
PSIRT 与 CSIRT
CSIRT 和 PSIRT 具有类似的结构和运作流程,但两者的关注重点截然不同。CSIRT 的职责是帮助确保公司安全,致力于保护公司网络、应用程序和数据免受恶意攻击者的侵扰。PSIRT 则是为了确保公司的产品安全。
组建有效 PSIRT 的最佳实践
组建有效 PSIRT 的最佳实践正在科技公司间兴起。部分此类最佳实践涉及到人员配置和组织架构。例如,最佳实践可能是避免将 PSIRT 配置为独立团队,而是通过将其成员分散到不同部门(如质量保障 (QA)、安全运维和软件开发)来组建该团队。
PSIRT 需要适当的预算和合适的工具来完成其工作。假设 PSIRT 利用其他人在使用的任何技术就能完成任务,这种想法并不可取。PSIRT 需要 IT 资源来创建隔离的测试环境。在许多情况下,该团队都需要采购专门设备。
培训利益相关者也是 PSIRT 的最佳实践。并非所有员工和经理都能直观地掌握产品安全性。最佳成果源于人员具备专业知识并“认同”PSIRT 的使命。培训研讨会是另一种最佳实践(将 PSIRT 策略和流程形成记录)的自然延伸。
其他相关的最佳实践包括:
- 向外部组织报告——与追踪影响您的产品漏洞的外部实体合作。这可能意味着要与那些喜欢拆解产品并寻找隐藏问题的人员打交道。这或许不是件趣事,但却是发现影响安全漏洞的绝佳方式。
- 自动化情报共享——在发现漏洞时,自动让公司内的其他团队及时知晓。这些利益相关方可能对补救措施有建议,并有其他可分享的有用信息。
- 关注漏洞和威胁数据的公开来源——订阅信息共享与分析中心 (ISAC) 以及 GitHub 等代码库。
PSIRT 的抵御和事件响应最佳实践
在发现漏洞时,PSIRT 的主要职责是立即采取抵御措施,并确保企业有效应对威胁。该过程涉及对漏洞的详细分析,确定其对公司产品的影响,并启动修复工作。
ISO/IEC 30111 等既定安全标准为抵御流程提供指导,其中概述了处理产品和服务中安全漏洞的最佳实践。这些国际标准确保组织保持漏洞管理的一致性和高效性,确保及时解决安全问题,避免被网络犯罪分子利用。
PSIRT 还将与其他内部团队(如开发和质保团队)紧密合作,以确保补丁或修复程序能快速开发并完成测试。如果漏洞无法立即完全修复,将实施临时缓解策略,例如更改配置或更新安全设置,以降低被利用的风险。
缓解措施完成后,PSIRT 通常会发布公开漏洞报告或公告,向客户和合作伙伴通报安全问题,并提供如何应用更新或安全补丁的明确指导。该团队还可以与 CERT(计算机紧急响应团队)等外部机构进行协调,以共享有关漏洞的信息,并确保在整个行业内全面解决该漏洞。
漏洞报告以及安全研究人员在 PSIRT 中的角色
PSIRT 高效运作的关键要素在于能够与安全社区有效协作,包括安全研究人员以及发现并报告漏洞的第三方专家。此类协作通常涉及到利用通用漏洞披露 (CVE) 标准,该标准为漏洞提供统一标识符,有助于简化研究人员、企业与客户间的沟通流程。
安全研究人员在产品开发生命周期中发挥着至关重要的作用,他们能识别出那些可能并不明显的安全漏洞。这些漏洞若未被发现,可能被恶意黑客或网络犯罪分子利用。通过向 PSIRT 提交漏洞报告,研究人员即可构筑防止产品和服务中的安全漏洞被利用的第一道防线。
为便于接收这些报告,PSIRT 采用 PGP 密钥等安全通道,确保所交换信息的机密性。PSIRT 使用 CVSS(通用漏洞评分系统)等工具评估和分类这些提交内容,根据所识别漏洞的严重程度确定缓解措施的优先级。通过与更广泛的安全社区建立开放且安全的关系,PSIRT 能够提升其高效应对潜在威胁和恶意软件等安全问题的能力。
常见问题
PSIRT 通过接收和分析安全研究人员提交的漏洞报告来与安全研究人员开展协作。这些报告通常与 CVE 标准保持一致,并且使用 PGP 密钥进行安全处理,以确保机密性。PSIRT 随后会评估漏洞,使用 CVSS 等工具确定缓解措施的优先级,并就解决方案与研究人员和公众沟通。
通用漏洞披露 (CVE) 是为公开已知安全漏洞分配的唯一标识符。CVSS(通用漏洞评分系统)评分根据影响、可利用性和复杂性等因素对漏洞的严重程度进行量化。PSIRT 通过 CVE 标识符和 CVSS 分数来有效沟通漏洞信息并确定优先级。
在漏洞得到解决后,PSIRT 将通过漏洞报告或安全公告向公众披露该问题。此类报告将详细说明该漏洞、已采取的缓解措施以及任何必要的补丁或更新。PSIRT 还可能对发现该漏洞的安全研究人员予以表彰,以增进友好关系并鼓励未来与安全社区的合作。
PSIRT 在事件管理中发挥着关键作用,专注于快速识别和抵御漏洞,避免漏洞被利用。这包括分析安全缺陷、与内部团队协调修复工作,以及进行内部和外部沟通,以尽可能降低事件对客户和企业的影响。
客户为什么选择 Akamai
Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、扩展性和专业技术,助其从容拓展业务。