漏洞管理工具方面的幾點(diǎn)注意事項(xiàng)
原創(chuàng)【51CTO.com獨(dú)家特稿】用戶應(yīng)避免漏洞管理工具方面的常見錯(cuò)誤,并且最充分地利用這種工具。
不要在補(bǔ)救方面偷工減料。
令人驚訝的是,雖然許多企業(yè)會進(jìn)行漏洞掃描,或者請人來進(jìn)行掃描,但得到一份報(bào)告后,卻沒有積極跟進(jìn),采取進(jìn)一步的行動(dòng)。許多企業(yè)可能會選擇一兩個(gè)關(guān)鍵的掃描結(jié)果,卻忽略了其余的掃描結(jié)果。這樣做的結(jié)果是,雖然企業(yè)花了大量的時(shí)間和金錢,但是對于加強(qiáng)安全幫助很小。
弗雷斯特研究公司的首席分析師Chenxi Wang說:“一些企業(yè)僅僅檢測一下就完事了。檢測結(jié)果只是告訴你面臨怎樣的狀況,但是對于降低安全風(fēng)險(xiǎn)幫助很小。”
必須結(jié)合一種明確定義的變更控制流程,對漏洞和配置管理進(jìn)行補(bǔ)救;這種流程應(yīng)得到漏洞管理工具的支持,并與你的控制機(jī)制(如故障單系統(tǒng))緊密配合起來。漏洞管理工具不但應(yīng)通過漏洞和錯(cuò)誤檢測來支持這種流程,還應(yīng)通過基于安全威脅嚴(yán)重程序和高危系統(tǒng)價(jià)值的風(fēng)險(xiǎn)評估來支持它。只有重新進(jìn)行了掃描,證實(shí)補(bǔ)救措施已發(fā)揮效果(也就是說補(bǔ)丁已成功打上,或配置錯(cuò)誤已被糾正),整個(gè)過程才完成,故障單才可以關(guān)閉。
安全顧問Shaheen Abdul Jabbar說:“一些企業(yè)非常積極主動(dòng),另一些企業(yè)卻非常消極被動(dòng)。我見過這樣的事,安全工作人員進(jìn)行了掃描,并將結(jié)果告訴了IT部門,但沒有回過頭去,檢查漏洞在下一次審查周期之前是不是已被補(bǔ)救。”
要使用掃描服務(wù)。
如果貴企業(yè)受制于要求定期請第三方掃描的監(jiān)管法規(guī),那你無論如何沒得選擇。這種情況下,不要僅僅局限于滿足最低的監(jiān)管要求。應(yīng)將你的補(bǔ)救流程貫徹到底——優(yōu)秀的審查人員會要求這么做。
無論你在符合監(jiān)管要求方面負(fù)怎樣的義務(wù),軟件即服務(wù)(SaaS)和托管服務(wù)對漏洞管理來說都是切實(shí)可行的選擇。幾家知名服務(wù)提供商高度關(guān)注或者甚至完全關(guān)注服務(wù),這讓它們可以替代或補(bǔ)充內(nèi)部掃描。從本質(zhì)上來說,SaaS服務(wù)關(guān)注的是面向公眾的系統(tǒng);為了進(jìn)行更全面的掃描,服務(wù)提供商會將黑盒子設(shè)備裝在客戶網(wǎng)絡(luò)上,報(bào)告掃描結(jié)果。
一些企業(yè)有所顧慮,不允許掃描后收集而來的這一切數(shù)據(jù)與企業(yè)外面的人共享。你要確保,數(shù)據(jù)得到了強(qiáng)加密的保護(hù)(借助可靠的密鑰管理);只有貴企業(yè)授權(quán)的人員才可以訪問那些數(shù)據(jù),服務(wù)提供商的任何員工都無權(quán)訪問。
另外,確保認(rèn)證掃描所需的身份憑證得到了嚴(yán)格保護(hù),或借助服務(wù)提供商自身的技術(shù),或借助優(yōu)秀的特權(quán)身份管理產(chǎn)品。作為一項(xiàng)服務(wù)的漏洞管理可以節(jié)省資本開支、管理費(fèi)用和人手。
此外,應(yīng)考慮請來顧問或服務(wù)提供商(至少應(yīng)定期這么做),以補(bǔ)充貴企業(yè)的內(nèi)部掃描,起到查漏補(bǔ)缺的作用。請來公正的外人可防止任何內(nèi)部人員的偏見,或者防止出現(xiàn)為保護(hù)自身利益而致使掃描報(bào)告內(nèi)容不全的情況。
要堅(jiān)持使用實(shí)用的報(bào)告。
這適用于多個(gè)層面。當(dāng)然在最高層面,你需要趨勢分析和整體狀況報(bào)告,好拿給管理人員過目。在安全層面,漏洞管理工具應(yīng)提供關(guān)于漏洞嚴(yán)重程度的信息,基于常見漏洞和披露(CVE)列表或通用漏洞評分系統(tǒng)(CVSS)這樣的標(biāo)準(zhǔn),并結(jié)合企業(yè)對于該資產(chǎn)的重視程度這個(gè)權(quán)重。報(bào)告應(yīng)告訴你什么是薄弱的,有多薄弱,風(fēng)險(xiǎn)又有多高。對于負(fù)責(zé)補(bǔ)救工作的人來說,操作報(bào)告應(yīng)簡明扼要、面向任務(wù)。
補(bǔ)丁和配置變更工作通常由網(wǎng)絡(luò)操作人員和系統(tǒng)管理員來進(jìn)行。他們并不是安全專業(yè)人員,所以應(yīng)從補(bǔ)丁和配置變革方面,而不是從漏洞方面來描述報(bào)告和指示。
審查報(bào)告應(yīng)清楚地表明:漏洞或配置錯(cuò)誤已檢測出來,風(fēng)險(xiǎn)已得到評估,故障單已開啟,故障單在問題得到補(bǔ)救后已關(guān)閉,以及補(bǔ)救工作得到了最后掃描的驗(yàn)證。
最后,報(bào)告應(yīng)該能夠稍加改動(dòng)同一部分?jǐn)?shù)據(jù),即可滿足不同的需要——有的報(bào)告針對企業(yè)的不同部門和不同類型的受眾,有的報(bào)告針對不同內(nèi)容的監(jiān)管法規(guī),等等。
邁克菲公司主管風(fēng)險(xiǎn)和合規(guī)的高級集團(tuán)經(jīng)理Gary Davis說:“在過去,每次為了生成報(bào)告,你就得重新掃描一下;但實(shí)際上你需要的是掃描一次、生成多份報(bào)告的模式,那樣用不著為了每次生成報(bào)告而需要掃描。”
要將漏洞管理工具與其他安全工具集成起來。
安全信息和事件管理(SIEM)是首要的安全工具。漏洞管理工具為作為整體風(fēng)險(xiǎn)管理計(jì)劃一部分的SIEM提供了關(guān)鍵的信息來源。一旦某個(gè)漏洞或配置問題檢測出來,相關(guān)信息就應(yīng)該饋送給SIEM工具,與來自其他信息源(如防火墻和入侵防護(hù)系統(tǒng))的信息關(guān)聯(lián)起來。
漏洞管理工具還要與入侵防護(hù)系統(tǒng)集成起來,這種系統(tǒng)可以利用資產(chǎn)庫存和漏洞信息,確定哪些攻擊真正帶來了重大威脅,而哪些攻擊可以放心地忽略。如果漏洞管理工具包括了應(yīng)用程序掃描功能,那么掃描結(jié)果可用來創(chuàng)建或修改Web應(yīng)用防火墻的保護(hù)規(guī)則。
原文鏈接:http://www.networkworld.com/news/2011/021411-vulnerability-management-tools-dos-and.html
【51CTO.com獨(dú)家譯稿,非經(jīng)授權(quán)謝絕轉(zhuǎn)載!合作媒體轉(zhuǎn)載請注明原文出處及出處!】
【編輯推薦】
- 社會工程學(xué)攻擊的三個(gè)典例
- 2010年揚(yáng)名的十大WEB黑客技術(shù)
- 保障中小企業(yè)安全的十大最佳實(shí)踐
- 以牙還牙是對付網(wǎng)絡(luò)攻擊的解決之道嗎?
