這些漏洞往往無法受到其它安全措施(如防火墻���,因?yàn)榉阑饓ν蔀楣粽咧苯舆M(jìn)入軟件的未知后門)的保護(hù)。安全方案需要知道自己在尋找的內(nèi)容��,所以將漏洞管理包含在企業(yè)的全局安全方法中是很重要的�����。漏洞管理就是積極地保障易遭受攻擊的軟件組件的安全�。安全工程師應(yīng)關(guān)注的主要領(lǐng)域往往是操作系統(tǒng)、瀏覽器及其插件�����、業(yè)務(wù)應(yīng)用���、Web應(yīng)用等���,但是還有許多其它的軟件可能包含潛在的漏洞�。漏洞管理方案可以持續(xù)地掃描特定環(huán)境����,不管是掃描服務(wù)器還是端點(diǎn),都可以查找軟件設(shè)計(jì)中的缺陷�。在找到漏洞后,我們就可以將漏洞交給適當(dāng)?shù)娜藛T或團(tuán)隊(duì)�,并由其及時(shí)發(fā)布補(bǔ)丁和解決問題。
漏洞管理如何與其它措施協(xié)作
漏洞管理應(yīng)成為每家企業(yè)的基本安全過程���。為了減少攻擊面��,你要確保運(yùn)行的都是操作系統(tǒng)和其它軟件的最新版本���。為此,你需要確保漏洞管理方案與配置管理��、補(bǔ)丁管理的過程和方案實(shí)現(xiàn)集成��,并使其協(xié)調(diào)工作��。在找到漏洞后����,盡快地發(fā)布補(bǔ)丁至關(guān)重要���,所以這些系統(tǒng)需要協(xié)同運(yùn)行。
漏洞管理方案還應(yīng)當(dāng)可以訪問某種持續(xù)的監(jiān)視和掃描功能��。以前����,企業(yè)往往要求員工每隔一段時(shí)間就進(jìn)行安全掃描,如每周一次或每天一次�。但是��,在兩個(gè)時(shí)間點(diǎn)之間��,仍有可能出現(xiàn)零日漏洞被利用的可能����。零日漏洞的利用就是在軟件廠商發(fā)現(xiàn)漏洞之前就發(fā)現(xiàn)并利用了漏洞。為捕獲這些潛在的漏洞����,你需要持續(xù)地監(jiān)視服務(wù)器和端點(diǎn),以盡可能減少零日漏洞被利用的范圍��。
而且,漏洞管理是一個(gè)聽起來有些寬泛的詞語(yǔ)���,其內(nèi)含包括了發(fā)現(xiàn)和管理漏洞的整個(gè)過程��。屬于這個(gè)范疇的一個(gè)詞或一類方案就是“漏洞評(píng)估”���。當(dāng)然,漏洞評(píng)估是全面的漏洞管理項(xiàng)目的一個(gè)關(guān)鍵組件���,但漏洞評(píng)估方案并不能解決一切問題���。這類方案一般處理的是監(jiān)視、發(fā)現(xiàn)����、報(bào)告與漏洞管理有關(guān)的過程。但是���,為了正確地響應(yīng)和修復(fù)安全問題�,你仍需要一個(gè)更全面的項(xiàng)目����。
雖然多數(shù)企業(yè)認(rèn)識(shí)到虛擬機(jī)項(xiàng)目的重要性�����,但是這些企業(yè)并沒有通過解決漏洞而構(gòu)建起能夠減輕風(fēng)險(xiǎn)的強(qiáng)健項(xiàng)目�����。其中的一些限制條件與企業(yè)缺乏基本的要素有關(guān)��,如資產(chǎn)管理�、工作流管理�����、修復(fù)跟蹤系統(tǒng)等����。
優(yōu)秀的漏洞管理方案是怎樣煉成的
在選擇漏洞管理或漏洞評(píng)估方案時(shí)���,你應(yīng)重視的基本特性包括能夠查找缺失補(bǔ)丁����、錯(cuò)誤�����、系統(tǒng)配置缺陷、總體上偏離策略的大程度等方面的能力���。一款好的漏洞管理產(chǎn)品還包括報(bào)告功能���,對(duì)于企業(yè)來說,這尤其重要��。發(fā)現(xiàn)漏洞此時(shí)未必是最大的痛點(diǎn)���,而是應(yīng)對(duì)企業(yè)正在發(fā)現(xiàn)的漏洞的數(shù)量�����。報(bào)告功能以及與求助系統(tǒng)和補(bǔ)丁管理系統(tǒng)的集成能力是企業(yè)應(yīng)關(guān)注的問題�����。
如果貴公司在一個(gè)高度合規(guī)的行業(yè)中運(yùn)營(yíng)�,你還要確保漏洞管理平臺(tái)支持有關(guān)必要的規(guī)范�����。事實(shí)上,很多政府和行業(yè)規(guī)范都要求強(qiáng)健的漏洞管理實(shí)踐�,這意味著企業(yè)別無選擇,而只能部署一套強(qiáng)健的系統(tǒng)��,這不僅僅是為了防止網(wǎng)絡(luò)攻擊���,更是為了保證合規(guī)�。
如果你的漏洞管理過程和方案與SIEM(信息安全和事件管理)能夠集成也是很有益的����,其中后者往往充當(dāng)公司全面安全方法的基礎(chǔ)。在檢測(cè)到漏洞或配置問題后��,理想情況下就應(yīng)將這些信息提供給SIEM工具��,與來自其它源頭(如防火墻和入侵防御系統(tǒng))的信息實(shí)現(xiàn)關(guān)聯(lián)����。換句話說�,你要保證漏洞管理方案與盡可能多的不同安全工具共享信息,以便于從每一個(gè)可能的角度保護(hù)網(wǎng)絡(luò)���。
以此觀念為基礎(chǔ)��,適當(dāng)?shù)穆┒垂芾矸桨傅牧硪粋€(gè)基本要求就是它要與CVE(常見漏洞及披露)的數(shù)據(jù)庫(kù)相集成��,后者可以給企業(yè)提供一些常見的軟件漏洞的一個(gè)清單��。這可以確保你的監(jiān)視和掃描方案能夠查找最新的潛在威脅��。為使集成更強(qiáng)健����,將威脅情報(bào)方案添加到總體防御中是很關(guān)鍵的,這可以使企業(yè)更容易獲得實(shí)時(shí)的零日漏洞利用信息�,在補(bǔ)丁可用之前這是很可行的。
換言之��,你有一個(gè)有漏洞的軟件組件�����,而且也有此漏洞的一個(gè)補(bǔ)丁��,你想盡快應(yīng)用補(bǔ)丁從而修補(bǔ)漏洞���。但是攻擊者一直在不斷地查找其可以利用的漏洞�,在其實(shí)施新的漏洞利用時(shí)�����,在廠商找到漏洞并交付更新補(bǔ)丁之前存在一段時(shí)間,這就是漏洞窗口�����。這正是你需要持續(xù)地監(jiān)視并且與威脅情報(bào)進(jìn)行整合的原因�。
云服務(wù)和移動(dòng)設(shè)備正在改變世界
無論你是一直遵循漏洞管理的原則或者剛剛開始重視,你都需要理解這個(gè)領(lǐng)域正在發(fā)生改變��,而且隨著新技術(shù)的不斷出現(xiàn)�����,你需要變換策略才能防止網(wǎng)絡(luò)攻擊造成的損害����。不幸的是,隨著企業(yè)遷移到云和移動(dòng)設(shè)備�,黑客們也轉(zhuǎn)而重視這些技術(shù)。
事實(shí)上��,軟件即服務(wù)(SaaS)供應(yīng)商一般都擁有最多數(shù)量的漏洞����。云可被用于各種惡意目的,如垃圾郵件�����、發(fā)布惡意軟件�、DDoS、口令和哈希破解等����。除了云計(jì)算之外,大數(shù)據(jù)損害也會(huì)產(chǎn)生重大影響��,并有可能產(chǎn)生嚴(yán)重的聲譽(yù)損害和法律問題�。企業(yè)未充分理解的任何新技術(shù)都必然帶來新的威脅和漏洞。
對(duì)今天的漏洞管理策略而言�,云計(jì)算就是一個(gè)挑戰(zhàn)。而且�,對(duì)于要求在高峰需求期間的任何自動(dòng)擴(kuò)展服務(wù)來說,問題也是這樣�����。如果你在基本配置中有一個(gè)已知的漏洞����,并且你現(xiàn)在實(shí)施自動(dòng)擴(kuò)展的服務(wù)器�����,你就是在不斷地增加攻擊面�。在云環(huán)境中��,更為重要的是���,你要確保在自動(dòng)升級(jí)之前��,不斷地掃描基本配置的漏洞和進(jìn)行更新���。
對(duì)移動(dòng)設(shè)備而言,目前的狀況并不太樂觀��,這是由于移動(dòng)設(shè)備并沒有管理員可以訪問的遠(yuǎn)程端口�。如果沒有某種預(yù)置的客戶端,要遠(yuǎn)程管理這些設(shè)備是很困難的���,而且���,如果不是公司發(fā)放的設(shè)備����,你就不會(huì)獲得與公司中其它設(shè)備同樣的訪問水平�。而且�,廠商們有可能正在克服這些困難,而且公司在尋找方法將移動(dòng)設(shè)備納入到其總體的安全策略中�����。
隨著時(shí)間的推移�,會(huì)有越來越多的企業(yè)將其移動(dòng)設(shè)備包括在其漏洞管理方案中,但未必能夠做好���。從技術(shù)的觀點(diǎn)看�,移動(dòng)設(shè)備的管理是很不同的���。事實(shí)上�����,安全團(tuán)隊(duì)并沒有真正地管理移動(dòng)設(shè)備��,而往往是由運(yùn)營(yíng)團(tuán)隊(duì)在進(jìn)行管理�。問題在于,企業(yè)必須重視由于移動(dòng)設(shè)備的數(shù)量激增而引起的問題���。
