在安全問題上，絕不存在任何完美的網絡和應用。檢測網絡防御中的重要漏洞未必是一個昂貴復雜的任務。如果企業愿意，當然可以花大把的錢去構建一個強健的、實時的網絡漏洞管理機制，但這并非上策。根據公司需要保護的資產類型及資產的所在位置，甲公司的網絡漏洞管理可能與乙公司的網絡漏洞管理看似迥然不同。任何時候都不存在什么模板或最佳方法可以保護公司免受每種漏洞的威脅。但只要企業認真計劃，就完全可以將漏洞管理轉變成一個有益于確認并解決潛在安全漏洞的過程。本文將探討如何構建有效的網絡漏洞評估和漏洞管理的工具和最佳方法。

無疑，無論是應用軟件還是操作系統都存在缺陷，換言之，沒有哪個應用程序或操作系統不存在任何漏洞或不會遭受攻擊。只要有足夠的耐心、技能及專業技術，每一種軟件都可被利用漏洞、被破壞、被禁用或被用于惡意目的。要讓開發者預測黑客攻擊應用程序的每一種方法是不可能的，所以網絡團隊需要對付針對關鍵應用的各種不可預料的攻擊。

針對關鍵應用或其所在服務器的大多數攻擊，其渠道基本上都來自IP網絡。所以，部署一個強健的漏洞評估和管理方案有助于減少應用程序中的漏洞。當然，這并非易事。許多企業的IT開發者和安全專家往往沒有密切協作，所以無法解決應用程序和網絡的漏洞問題。在應用程序和安全團隊之間建立密切聯系至關重要，這是因為對應用程序的變更可能會帶來安全專家應當了解的新漏洞，而對網絡的變更也有可能招致針對應用程序的新攻擊手段。總之，絕不應當把網絡漏洞管理看成是一次性的或定期的體檢，而應當把它作為一個持續的標準IT過程。

減少關鍵應用遭受攻擊的最佳方法，或減少被攻擊者用無法預測的方式利用漏洞的最佳方法是，經常檢查黑客用來攻擊關鍵系統的各種網絡漏洞。

如果你正準備從頭開始構建一種漏洞管理方法，最佳的起點是執行發現和審計。如果你不了解企業在哪里會發生信息泄露以及發生信息泄露的原因，就無法真正規劃一套持續的網絡漏洞掃描的長期策略和過程。漏洞管理并不僅僅是部署微軟確定的嚴重等級的Windows補丁。網絡漏洞管理的真正含義是，發現每一臺主機有可能遭受的攻擊手段，并用一種使攻擊者更困難的方法來應對攻擊。

例如，如果企業的環境主要運行Windows，不妨登錄到任意一臺Web服務器或應用服務器，并在命令提示符下運行“netstat -a”來查看服務器正在監聽的所有TCP/UDP端口。在網絡環境中，在對一臺隨機選擇的服務器的測試過程中，如果發現試驗的結果中存在紅色標記，則表明在將服務器投入到生產環境之前需要解決這些問題。

當然，在一個大型的環境中，先登錄到每一臺服務器，然后再使用netstat命令決定特定主機的暴露端口和服務，這是不現實的。審計者及攻擊者更愿意利用漏洞掃描器或Nmap之類的工具來快速掃描整個子網的端口，查找暴露了重要端口的主機。例如，在網絡掃描中，RDP成為一種主要的紅色標記，因為如果攻擊者發現了一套可用的登錄憑證，就很容易規劃出網絡的剩余部分，并留下后門，為以后的大型攻擊做好準備。

在作者的試驗過程中，發現有幾臺新設備都啟用了默認的只讀字串。在檢查幾臺新路由器的SNMP時，可以輕易地發現正在運行的路由器類型，以及正在運行的代碼版本。攻擊者只要有了這些信息，花點時間就足以制定出攻擊進入路由器或交換基礎架構的策略。在掃描子網中的其它主機時，作者還發現一臺在80號端口監聽的APC的UPS(不間斷電源)。通過谷歌搜索得知，這種UPS的默認用戶名和口令都是“APC”。因而，筆者就能夠輕松地訪問UPS并且可以通過網絡關閉它。有些管理員可能認為以默認用戶名和口令運行的UPS不是漏洞，其實不然。

不管企業規模如何，加速漏洞發現過程的最佳方法是聘請外部的審計人員。在發現漏洞的過程中不應當指責誰，更不應該把現在的管理團隊說得一無是處。畢竟，每個管理員都會犯錯誤，而且在某種程度上每個環境都有可能遭受攻擊。許多企業被迫匆忙地部署了某種服務，結果使安全成了次要問題。在企業迫于無奈而部署服務時，IT往往會為沒有使用最佳方法而內疚。但是，在轉向了下一個任務或項目后，你遺留的漏洞便有可能長期存在。為了減少漏洞，系統管理員應當有條不紊地部署新服務。

為了安全地部署服務，安全團隊在發現和審計過程(包括滲透測試在內)中有可能請求管理人員給予更多資源。對系統管理員來說，這個過程可以作為教育IT人員關閉各種攻擊媒介和手段的方法，或是可以部署新服務以便于使安全漏洞最少化的一種途徑。

企業現有的發現漏洞的努力一定會揭示一些漏洞，并可能發現目前的策略造成安全漏洞的途徑和方式。這當然是好事，因為建立一套長久高效的漏洞管理過程的最佳方法之一就是，評估現有的IT過程如何造成差強人意的漏洞管理狀態。

下面列示的是一些用于建立強健的安全過程的最佳方法。

1、對于新服務器和桌面的部署，強化一個以安全為中心的過程

企業的主機在IP網絡上將會遭受攻擊，所以應當確保所有的服務器(新的和已有的)都應用一套標準安全模板(能夠排除不必要的服務和端口，否則這些端口和服務有可能被用作攻擊通道)。這應當成為一個漏洞管理項目的核心IT過程。

部署一臺新服務器或桌面PC也許很簡單，但保障新桌面和服務器的安全確保漏洞數量最小化就不那么簡單了。采用一種面向過程的方法來部署新系統至關重要，因為最終你的主機將成為遭受攻擊的靶子，而這種攻擊是通過網絡發生的。

以安全為中心的過程要求企業花時間確認用來強化操作系統(Web、應用程序、數據庫等的運行與其密切相關)的方法。這包括清除所有供應商所提供的軟件后門、不重要的和不必要的服務，并關閉任何可以導致服務器打開一個UDP/TCP端口的不必要的應用，還要求你部署適當的端點保護，用來跟蹤配置上發生的變化，并阻止繞過外圍防御的攻擊。

如果你已經從安全的角度確認了標準桌面和服務器應當具備的特征，下一個重要問題是驗證參數，并在一個模板中捕獲這些參數以有利于未來的部署。企業還要有一個過程，確保在將一臺服務器投入到生產環境之前，就應用標準的安全模板。作為一個標準的軟件開發生命周期的一部分，新代碼要經過一個質量保證過程。同樣，所有新部署的服務器都應當在投入到生產環境之前，由其它的監視機制來保證其質量。通過強化關鍵應用軟件賴以運行的桌面和服務器，安全團隊不需編寫一行代碼就可以改善應用程序的安全性。

2、每天監視與日志和事件相關的數據

大型企業花很多錢用于日志管理、安全信息和事件的管理，但往往缺乏一個強有力的過程，無法將這些信息用作漏洞管理項目的一部分。在攻擊者開始利用一個已知或未知的漏洞時，總會留下線索，但如果你不查找就永遠看不到這些線索，而且也無法依靠自動化和警告規則去通知需要響應的每個安全事件。

企業應當集中管理安全日志，而且應當有人(理想情況下應超過一人)去檢查這些日志，以此作為日常過程的一部分。

一個強健的日志管理或SIEM系統將成為漏洞管理項目的一個關鍵要素。漏洞掃描器可以幫助你揭示已知的威脅和潛在的攻擊手段，但是日志可幫助你發現黑客是否訪問過一個交換機或路由器。你還應當使用可以幫助你查找關鍵系統上發生變化的配置管理工具，要知道這種變化可能帶來新漏洞，或者表明某種攻擊正在發生。

對于預算緊張的中小型企業來說，開源或輕量級的系統日志服務器至少可幫助企業構建一個安全和事件相關數據的集中化展現。中小型企業還可以通過使用Windows中的相關安全和策略功能來解決配置管理問題。你也許達不到專有產品的控制和報告水平，但至少不花費什么代價就可以防止打開新漏洞和安裝惡意軟件。

3、讓每天搜索新漏洞成為一個至關重要的IT過程

用戶和系統管理員遲早會對桌面和服務器做出變更，這會帶來新漏洞。多數系統變更是善意的，但往往會產生負面的安全影響。例如，管理員啟用一臺關鍵服務器的遠程桌面，就會違反安全策略;用戶為完成某些工作，在家里安裝了遠程訪問客戶端軟件來訪問公司的應用;用戶或應用程序有時會禁用Windows的更新服務或反病毒掃描器在主機上運行;管理員無意地部署了一臺路由器，卻沒有更改默認的用戶名和口令，等等。

在系統變更或新的部署帶來新漏洞時，企業需要檢測這個漏洞，并快速地用一種面向過程的方式來解決漏洞。

適時地搜索和阻止網絡漏洞要求企業有完善的工具。最初的投資應當是一個漏洞掃描器。而云供應商也可以掃描企業的IP地址塊，這對于中小型企業發現防御漏洞是一種好方法。此外，Nmap也可用于發現多臺主機的開放端口。

你還需要使用智能的網關防御，用來限制可能帶來安全問題的各種應用程序。用戶安裝的把系統暴露在互聯網上的非法軟件，本身就是一個需要解決的漏洞。如果企業的端點防御或安全策略沒有阻止用戶安裝未經許可的軟件，安全團隊就應當確保防火墻能夠在外圍過濾應用程序。企業需要向外圍增加一些保護和檢測功能，應當在外圍過濾已知的惡意軟件和漏洞。希望依靠端點防御來防止漏洞是不可靠的，因為端點的保護往往并不完備。

4、交流和通知新發現的漏洞

幾乎任何企業的漏洞掃描器都能檢測和確認嚴重的新漏洞，問題在于：你如何對待這些信息。安全團隊應當將新發現的漏洞傳達給應用程序的開發團隊，并附上具體的補救計劃，這應當成為頭等大事。企業還要以一種面向過程的方式來監督漏洞信息的傳達和交流，將其作為企業網絡漏洞管理項目的一部分。企業應當為把新風險傳達給公司應用開發團隊而構建一個協調良好的過程,這應當成為應用團隊和網絡團隊經常交流的重要內容。

5、嚴格限制對關鍵系統的訪問

無疑，可以遠程訪問的任何服務器都易遭受攻擊，但在今天，關于服務器管理的事實是，IT不能簡單地禁用遠程訪問。IT仍可以使用戶更安全地連接到服務器，而且可以使黑客在使用這種攻擊手段時更困難。

解決此問題的一種方法是，禁用遠程桌面并依靠IP KVM和帶外管理。安全人員還可以僅允許從可信的安全VLAN遠程訪問服務器。對安全VLAN的遠程訪問應當要求雙因素保護，而且不應當允許使用一般賬戶(包括“administrator”賬戶)的身份驗證。此外，還應當記錄所有的遠程連接。

如今，許多與安全相關的最佳實踐可保護企業免受漏洞的威脅。但對企業來說，更大的困難在于將這些最佳實踐和工具轉變成一套可行規則。在部署新系統或應用時，企業必須視漏洞問題。企業需要認真對待如何圍繞最佳實踐逐步地構建一個可實施的IT過程，否則必將遭遇慘敗。