如今，在經營企業過程中一個不容忽視的事實是， 網絡攻擊并沒有消減，而黑客們總在試圖找到訪問公司內部網絡和系統的新方法。黑客們一直鐘情的利用企業漏洞的一種途徑就是在廠商發布補丁之前找到軟件中的漏洞。不幸的是，這種趨勢正在增長。據美國國家漏洞數據庫的報告， 2014年平均每天發現約19個漏洞，這個數字比2013年時候有了巨增，而且未來幾年漏洞數量都將持續高漲。

[[161484]]

這些漏洞往往無法受到其它安全措施(如防火墻，因為防火墻往往成為攻擊者直接進入軟件的未知后門)的保護。安全方案需要知道自己在尋找的內容，所以將漏洞管理包含在企業的全局安全方法中是很重要的。漏洞管理就是積極地保障易遭受攻擊的軟件組件的安全。安全工程師應關注的主要領域往往是操作系統、瀏覽器及其插件、業務應用、Web應用等，但是還有許多其它的軟件可能包含潛在的漏洞。漏洞管理方案可以持續地掃描特定環境，不管是掃描服務器還是端點，都可以查找軟件設計中的缺陷。在找到漏洞后，我們就可以將漏洞交給適當的人員或團隊，并由其及時發布補丁和解決問題。

漏洞管理如何與其它措施協作

漏洞管理應成為每家企業的基本安全過程。為了減少攻擊面，你要確保運行的都是操作系統和其它軟件的最新版本。為此，你需要確保漏洞管理方案與配置管理、補丁管理的過程和方案實現集成，并使其協調工作。在找到漏洞后，盡快地發布補丁至關重要，所以這些系統需要協同運行。

漏洞管理方案還應當可以訪問某種持續的監視和掃描功能。以前，企業往往要求員工每隔一段時間就進行安全掃描，如每周一次或每天一次。但是，在兩個時間點之間，仍有可能出現零日漏洞被利用的可能。零日漏洞的利用就是在軟件廠商發現漏洞之前就發現并利用了漏洞。為捕獲這些潛在的漏洞，你需要持續地監視服務器和端點，以盡可能減少零日漏洞被利用的范圍。

而且，漏洞管理是一個聽起來有些寬泛的詞語，其內含包括了發現和管理漏洞的整個過程。屬于這個范疇的一個詞或一類方案就是“漏洞評估”。當然，漏洞評估是全面的漏洞管理項目的一個關鍵組件，但漏洞評估方案并不能解決一切問題。這類方案一般處理的是監視、發現、報告與漏洞管理有關的過程。但是，為了正確地響應和修復安全問題，你仍需要一個更全面的項目。

雖然多數企業認識到虛擬機項目的重要性，但是這些企業并沒有通過解決漏洞而構建起能夠減輕風險的強健項目。其中的一些限制條件與企業缺乏基本的要素有關，如資產管理、工作流管理、修復跟蹤系統等。

優秀的漏洞管理方案是怎樣煉成的

在選擇漏洞管理或漏洞評估方案時，你應重視的基本特性包括能夠查找缺失補丁、錯誤、系統配置缺陷、總體上偏離策略的大程度等方面的能力。一款好的漏洞管理產品還包括報告功能，對于企業來說，這尤其重要。發現漏洞此時未必是最大的痛點，而是應對企業正在發現的漏洞的數量。報告功能以及與求助系統和補丁管理系統的集成能力是企業應關注的問題。

如果貴公司在一個高度合規的行業中運營，你還要確保漏洞管理平臺支持有關必要的規范。事實上，很多政府和行業規范都要求強健的漏洞管理實踐，這意味著企業別無選擇，而只能部署一套強健的系統，這不僅僅是為了防止網絡攻擊，更是為了保證合規。

如果你的漏洞管理過程和方案與SIEM(信息安全和事件管理)能夠集成也是很有益的，其中后者往往充當公司全面安全方法的基礎。在檢測到漏洞或配置問題后，理想情況下就應將這些信息提供給SIEM工具，與來自其它源頭(如防火墻和入侵防御系統)的信息實現關聯。換句話說，你要保證漏洞管理方案與盡可能多的不同安全工具共享信息，以便于從每一個可能的角度保護網絡。

以此觀念為基礎，適當的漏洞管理方案的另一個基本要求就是它要與CVE(常見漏洞及披露)的數據庫相集成，后者可以給企業提供一些常見的軟件漏洞的一個清單。這可以確保你的監視和掃描方案能夠查找最新的潛在威脅。為使集成更強健，將威脅情報方案添加到總體防御中是很關鍵的，這可以使企業更容易獲得實時的零日漏洞利用信息，在補丁可用之前這是很可行的。

換言之，你有一個有漏洞的軟件組件，而且也有此漏洞的一個補丁，你想盡快應用補丁從而修補漏洞。但是攻擊者一直在不斷地查找其可以利用的漏洞，在其實施新的漏洞利用時，在廠商找到漏洞并交付更新補丁之前存在一段時間，這就是漏洞窗口。這正是你需要持續地監視并且與威脅情報進行整合的原因。

云服務和移動設備正在改變世界

無論你是一直遵循漏洞管理的原則或者剛剛開始重視，你都需要理解這個領域正在發生改變，而且隨著新技術的不斷出現，你需要變換策略才能防止網絡攻擊造成的損害。不幸的是，隨著企業遷移到云和移動設備，黑客們也轉而重視這些技術。

事實上，軟件即服務(SaaS)供應商一般都擁有最多數量的漏洞。云可被用于各種惡意目的，如垃圾郵件、發布惡意軟件、DDoS、口令和哈希破解等。除了云計算之外，大數據損害也會產生重大影響，并有可能產生嚴重的聲譽損害和法律問題。企業未充分理解的任何新技術都必然帶來新的威脅和漏洞。

對今天的漏洞管理策略而言，云計算就是一個挑戰。而且，對于要求在高峰需求期間的任何自動擴展服務來說，問題也是這樣。如果你在基本配置中有一個已知的漏洞，并且你現在實施自動擴展的服務器，你就是在不斷地增加攻擊面。在云環境中，更為重要的是，你要確保在自動升級之前，不斷地掃描基本配置的漏洞和進行更新。

對移動設備而言，目前的狀況并不太樂觀，這是由于移動設備并沒有管理員可以訪問的遠程端口。如果沒有某種預置的客戶端，要遠程管理這些設備是很困難的，而且，如果不是公司發放的設備，你就不會獲得與公司中其它設備同樣的訪問水平。而且，廠商們有可能正在克服這些困難，而且公司在尋找方法將移動設備納入到其總體的安全策略中。

隨著時間的推移，會有越來越多的企業將其移動設備包括在其漏洞管理方案中，但未必能夠做好。從技術的觀點看，移動設備的管理是很不同的。事實上，安全團隊并沒有真正地管理移動設備，而往往是由運營團隊在進行管理。問題在于，企業必須重視由于移動設備的數量激增而引起的問題。