漏洞管理產(chǎn)品是如何工作的?在評(píng)估廠商漏洞管理產(chǎn)品時(shí)，企業(yè)信息安全專(zhuān)業(yè)人員該著重看哪些要素?

[[151538]]

漏洞管理表明了安全漏洞存在于每個(gè)組織機(jī)構(gòu)中。每天大量的操作系統(tǒng)、應(yīng)用以及基礎(chǔ)設(shè)施的安全警報(bào)意味著你的企業(yè)很可能有潛在的安全問(wèn)題，且尚未被發(fā)現(xiàn)。現(xiàn)實(shí)是你的企業(yè)的IT環(huán)境存有漏洞，而你的團(tuán)隊(duì)還尚未修正好的時(shí)候，下一波問(wèn)題已然來(lái)臨。

漏洞管理工具幫助信息安全團(tuán)隊(duì)走在安全問(wèn)題的前頭。它們結(jié)合了先進(jìn)的漏洞檢測(cè)能力及優(yōu)先級(jí)算法，以幫助企業(yè)識(shí)別需要立即關(guān)注的問(wèn)題，這樣，企業(yè)就可以更加專(zhuān)注于那些能導(dǎo)致泄漏事故的漏洞上去。

那么，如何為你的企業(yè)挑選最佳的漏洞管理工具呢?你需要了解漏洞管理是如何橋接到企業(yè)安全中的，也要知道漏洞管理系統(tǒng)必須要具備的特性。

漏洞管理工具工作原理

廠商漏洞數(shù)據(jù)庫(kù)是漏洞管理產(chǎn)品的基礎(chǔ)。這個(gè)頻繁更新的數(shù)據(jù)庫(kù)包括廠商安全研究組所知曉的每個(gè)安全漏洞。同時(shí)，它也包括讓掃描儀探測(cè)網(wǎng)絡(luò)系統(tǒng)中漏洞的測(cè)試信息。

通常，漏洞管理產(chǎn)品要先對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行梳理。可能會(huì)把信息從活動(dòng)目錄或現(xiàn)有資產(chǎn)管理系統(tǒng)中調(diào)出來(lái)，并將信息和對(duì)活動(dòng)IP地址進(jìn)行的高水平網(wǎng)絡(luò)掃描的結(jié)果結(jié)合起來(lái)。一旦它確定了系統(tǒng)處在一個(gè)怎樣的網(wǎng)絡(luò)中，它就會(huì)對(duì)每個(gè)系統(tǒng)進(jìn)行一次基本掃描，來(lái)識(shí)別運(yùn)行在主機(jī)上的操作系統(tǒng)及應(yīng)用程序。然后，漏洞管理工具返到漏洞數(shù)據(jù)庫(kù)中，去檢索可能影響主機(jī)的漏洞信息，并開(kāi)始執(zhí)行系統(tǒng)測(cè)試來(lái)揪出潛在的漏洞。

掃描一完成，好戲就開(kāi)始了。通常，安全專(zhuān)家都會(huì)對(duì)掃描感到頭疼，因?yàn)閽呙杞Y(jié)果往往提示出成百上千的配置缺陷。漏洞管理系統(tǒng)的真正力量在于它能幫助安全團(tuán)隊(duì)整理信息的泥沼，優(yōu)先考慮能對(duì)組織機(jī)構(gòu)安全態(tài)勢(shì)造成影響的活動(dòng)。它通過(guò)綜合漏洞嚴(yán)重程度和影響程度、系統(tǒng)的優(yōu)先級(jí)和任何可能存在的合規(guī)問(wèn)題等信息來(lái)實(shí)現(xiàn)這種整理與篩選。這種優(yōu)先級(jí)就是將一個(gè)簡(jiǎn)單的漏洞掃描器轉(zhuǎn)換成一個(gè)強(qiáng)大的漏洞管理平臺(tái)。

漏洞管理產(chǎn)品特性

漏洞管理工具市場(chǎng)已經(jīng)非常成熟，有很多高質(zhì)量產(chǎn)品幫助安全專(zhuān)家完成鑒定和修復(fù)任務(wù)。當(dāng)你為企業(yè)環(huán)境進(jìn)行產(chǎn)品評(píng)估時(shí)，應(yīng)先廣撒網(wǎng)，確定幾種不同的產(chǎn)品。如果不是親自驗(yàn)證，你無(wú)法對(duì)一個(gè)產(chǎn)品擁有實(shí)戰(zhàn)經(jīng)驗(yàn)。

在產(chǎn)品評(píng)估階段最為重要的一個(gè)標(biāo)準(zhǔn)是用戶體驗(yàn)。特別是當(dāng)你的拓展計(jì)劃超出了信息安全團(tuán)隊(duì)和系統(tǒng)工程師的對(duì)安全產(chǎn)品的理解范圍時(shí)，這顯得尤為重要。如果他們發(fā)現(xiàn)產(chǎn)品使用起來(lái)很困難，那么你想在企業(yè)中應(yīng)用該產(chǎn)品也必將困難重重。

下面是評(píng)估漏洞管理工具時(shí)需要考量的其他重要的特性：

質(zhì)量和更新速度。廠商發(fā)布新版本的頻率如何?它們能否精確檢測(cè)漏洞?你可以選取一個(gè)最新的、知名度較高的漏洞，來(lái)看漏洞發(fā)布與廠商更新的時(shí)間差。這要花多久?

與你的企業(yè)環(huán)境的兼容度。廠商的漏洞數(shù)據(jù)庫(kù)是否包括你企業(yè)中的所有主要的應(yīng)用、操作系統(tǒng)以及基礎(chǔ)設(shè)施?

是否支持云服務(wù)。產(chǎn)品是否能檢測(cè)出在IaaS、PaaS和SaaS環(huán)境下的問(wèn)題?

合規(guī)性。產(chǎn)品是否為你的企業(yè)合規(guī)項(xiàng)目提供支持?如果你受PCI DSS所約束，你能否使用該產(chǎn)品來(lái)執(zhí)行所需要的掃描以及完整的自我評(píng)估?

優(yōu)先級(jí)。根據(jù)優(yōu)先算法什么樣的信息因素會(huì)被列出來(lái)?它是否同時(shí)支持自動(dòng)優(yōu)先級(jí)和手動(dòng)配置，以滿足你更高效地使用產(chǎn)品實(shí)現(xiàn)預(yù)期目標(biāo)?

主動(dòng)和被動(dòng)檢測(cè)。產(chǎn)品是否集成了傳統(tǒng)的主動(dòng)系統(tǒng)掃描與基于網(wǎng)絡(luò)流量檢測(cè)而進(jìn)行的被動(dòng)漏洞檢測(cè)?產(chǎn)品是否允許在系統(tǒng)上安裝代理執(zhí)行自動(dòng)掃描以降低錯(cuò)檢率?

修復(fù)指南。產(chǎn)品可以為識(shí)別出的漏洞提供什么樣的修復(fù)指南?當(dāng)你看產(chǎn)品報(bào)告時(shí)，它是否提供了足夠的信息來(lái)幫助你修復(fù)漏洞?或者說(shuō)，你是否還需要其他額外的研究?

廠商支持。合同上有寫(xiě)明廠商支持嗎?廠商承諾的響應(yīng)時(shí)間是?

你可以使用上述這個(gè)特性清單拉開(kāi)選擇產(chǎn)品的帷幕。你也可以衍生出自己的優(yōu)先級(jí)列表，并為適用于你企業(yè)的產(chǎn)品進(jìn)行排名。

結(jié)論

漏洞管理工具首先會(huì)盤(pán)點(diǎn)你面臨的安全問(wèn)題，而后根據(jù)嚴(yán)重程度、曝光度、合規(guī)狀況和數(shù)據(jù)分類(lèi)幫你為這些問(wèn)題排出優(yōu)先級(jí)。這些工具會(huì)幫助安全專(zhuān)家們爭(zhēng)取修復(fù)時(shí)間，并讓他們更為專(zhuān)注于那些更需要迫切解決的問(wèn)題上去。