企業(yè)漏洞管理對(duì)于企業(yè)安全人員來說是一門必修功課，但是在漏洞層出的今天，不可能保證將所有的漏洞都偵查到。但是我們可以通過將企業(yè)漏洞管理化整為零，或許可以實(shí)現(xiàn)更為有效地防御。在這一節(jié)里，我們將以SANS研究機(jī)構(gòu)主席Stephen Northcutt的培訓(xùn)會(huì)議(SANS安全領(lǐng)導(dǎo)要素)為基礎(chǔ)來進(jìn)行漏洞管理的闡述。

五個(gè)企業(yè)漏洞管理原則

Northcutt任務(wù)對(duì)于任何需要進(jìn)行漏洞管理的地方，都包含下列五個(gè)必須優(yōu)先考慮的項(xiàng)目：

漏洞是有威脅存在的表現(xiàn)

缺乏補(bǔ)救措施的漏洞掃描沒有什么價(jià)值

即便是少量的掃描和補(bǔ)救都比大量掃描卻缺乏補(bǔ)救措施要強(qiáng)

在了解到哪些風(fēng)險(xiǎn)會(huì)給網(wǎng)絡(luò)帶來最大風(fēng)險(xiǎn)的基礎(chǔ)上，必須優(yōu)先需要修復(fù)的漏洞

安全從業(yè)人員應(yīng)具備一個(gè)能讓他們追蹤漏洞的進(jìn)程，以便能經(jīng)常而有效地修復(fù)漏洞。

在強(qiáng)調(diào)“從小做起”的價(jià)值時(shí)，Northcutt稱，一次掃描的量不需很多，但是及時(shí)修復(fù)漏洞是為了避免漏洞越積越多，威脅越來越大。如果，你具備足夠的修復(fù)能力，而不去修復(fù)，那就是一種不作為。

一旦發(fā)生數(shù)據(jù)泄漏，而且追查原因發(fā)現(xiàn)是公司早就知道卻沒有修復(fù)的漏洞造成的，那后果無疑很嚴(yán)重，甚至有可能惹上官司。

基本的威脅向量

下一步，Northcutt認(rèn)為有必要對(duì)企業(yè)必須了解的基本威脅向量進(jìn)行識(shí)別。它們分別是：

來自網(wǎng)絡(luò)的外部攻擊

來自網(wǎng)絡(luò)(VPN)的內(nèi)部攻擊

來自電話的外部攻擊

來自局域網(wǎng)的內(nèi)部攻擊

來自本地系統(tǒng)的內(nèi)部攻擊

惡意攻擊

Northcutt將最大的顧忌稱為“支點(diǎn)的力量”。所有攻擊者需要的其實(shí)只是一個(gè)“立足點(diǎn)”。他認(rèn)為，如果有漏洞沒有打上補(bǔ)丁，而其他人又可以從外部訪問這個(gè)漏洞，那系統(tǒng)就會(huì)遭受損失，而這樣的系統(tǒng)會(huì)成為黑客進(jìn)一步入侵其他系統(tǒng)的跳板。

心理因素

對(duì)于那些要抓住漏洞管理的重要性的公司行政人員來說，有必要用職員易懂的語言來說明。

老板會(huì)擔(dān)心什么問題呢?Northcutt給出了下列可能：

web服務(wù)器受損可能暴露企業(yè)信息招致其他人的奚落

而遭受損失可能暴露客戶的隱私信息，這可能為公司引來官司

對(duì)公司有非議的內(nèi)部職員或許想使壞，比如引發(fā)一個(gè)邏輯炸彈

對(duì)現(xiàn)狀不滿的人，可能向其他人出賣公司數(shù)據(jù)

容易被社交工程欺騙的雇員可能泄露敏感數(shù)據(jù)

入侵系統(tǒng)的黑客可能找到公司不可告人的秘密進(jìn)而對(duì)公司進(jìn)行敲詐勒索。

要了解問題的嚴(yán)重性，工作人員需要審視來自三個(gè)視角的挑戰(zhàn)。外部視角——如果你立足于企業(yè)網(wǎng)絡(luò)外部，就有能力看到外部情況;內(nèi)部視角，重點(diǎn)在于系統(tǒng)的配置是否得當(dāng)，用戶視角，用戶主要從web和郵件來接入網(wǎng)絡(luò)。

為什么企業(yè)需要從這個(gè)三個(gè)視角來考慮問題呢?Northcutt解釋道：

大多數(shù)企業(yè)只用類似Core Impact Nessus或NeXpose的掃描器實(shí)現(xiàn)外部查看

如果用戶在上網(wǎng)過程中遭遇惡意網(wǎng)站，其系統(tǒng)會(huì)被黑客利用，最后淪為黑客攻擊其他系統(tǒng)的工具

SCADA多年的安全模式是，如果你沒有聯(lián)網(wǎng)，就不用有什么擔(dān)心。隨著越來越多的SCADA系統(tǒng)接入網(wǎng)絡(luò)，我們擔(dān)心也是與日俱增。

有了這些東西在手，就是時(shí)候看看各種掃描程序和滲透技巧了。

通過我們分析企業(yè)漏洞管理的五項(xiàng)基本原則和企業(yè)的基本威脅向量，希望廣大的安全人員能夠提升自己的安全意識(shí)，為自身企業(yè)提供更好的保護(hù)。

【編輯推薦】

1. 黑客使用Web攻擊的八條原因
2. 防止入侵從Web應(yīng)用安全漏洞做起
3. 社交網(wǎng)絡(luò)時(shí)代下的企業(yè)Web安全
4. 概述網(wǎng)頁掛馬原理與危害
5. 網(wǎng)頁掛馬之我的前生今世