企業漏洞管理原則與威脅向量
企業漏洞管理對于企業安全人員來說是一門必修功課,但是在漏洞層出的今天,不可能保證將所有的漏洞都偵查到。但是我們可以通過將企業漏洞管理化整為零,或許可以實現更為有效地防御。在這一節里,我們將以SANS研究機構主席Stephen Northcutt的培訓會議(SANS安全領導要素)為基礎來進行漏洞管理的闡述。
五個企業漏洞管理原則
Northcutt任務對于任何需要進行漏洞管理的地方,都包含下列五個必須優先考慮的項目:
漏洞是有威脅存在的表現
缺乏補救措施的漏洞掃描沒有什么價值
即便是少量的掃描和補救都比大量掃描卻缺乏補救措施要強
在了解到哪些風險會給網絡帶來最大風險的基礎上,必須優先需要修復的漏洞
安全從業人員應具備一個能讓他們追蹤漏洞的進程,以便能經常而有效地修復漏洞。
在強調“從小做起”的價值時,Northcutt稱,一次掃描的量不需很多,但是及時修復漏洞是為了避免漏洞越積越多,威脅越來越大。如果,你具備足夠的修復能力,而不去修復,那就是一種不作為。
一旦發生數據泄漏,而且追查原因發現是公司早就知道卻沒有修復的漏洞造成的,那后果無疑很嚴重,甚至有可能惹上官司。
基本的威脅向量
下一步,Northcutt認為有必要對企業必須了解的基本威脅向量進行識別。它們分別是:
來自網絡的外部攻擊
來自網絡(VPN)的內部攻擊
來自電話的外部攻擊
來自局域網的內部攻擊
來自本地系統的內部攻擊
惡意攻擊
Northcutt將最大的顧忌稱為“支點的力量”。所有攻擊者需要的其實只是一個“立足點”。他認為,如果有漏洞沒有打上補丁,而其他人又可以從外部訪問這個漏洞,那系統就會遭受損失,而這樣的系統會成為黑客進一步入侵其他系統的跳板。
心理因素
對于那些要抓住漏洞管理的重要性的公司行政人員來說,有必要用職員易懂的語言來說明。
老板會擔心什么問題呢?Northcutt給出了下列可能:
web服務器受損可能暴露企業信息招致其他人的奚落
而遭受損失可能暴露客戶的隱私信息,這可能為公司引來官司
對公司有非議的內部職員或許想使壞,比如引發一個邏輯炸彈
對現狀不滿的人,可能向其他人出賣公司數據
容易被社交工程欺騙的雇員可能泄露敏感數據
入侵系統的黑客可能找到公司不可告人的秘密進而對公司進行敲詐勒索。
要了解問題的嚴重性,工作人員需要審視來自三個視角的挑戰。外部視角——如果你立足于企業網絡外部,就有能力看到外部情況;內部視角,重點在于系統的配置是否得當,用戶視角,用戶主要從web和郵件來接入網絡。
為什么企業需要從這個三個視角來考慮問題呢?Northcutt解釋道:
大多數企業只用類似Core Impact Nessus或NeXpose的掃描器實現外部查看
如果用戶在上網過程中遭遇惡意網站,其系統會被黑客利用,最后淪為黑客攻擊其他系統的工具
SCADA多年的安全模式是,如果你沒有聯網,就不用有什么擔心。隨著越來越多的SCADA系統接入網絡,我們擔心也是與日俱增。
有了這些東西在手,就是時候看看各種掃描程序和滲透技巧了。
通過我們分析企業漏洞管理的五項基本原則和企業的基本威脅向量,希望廣大的安全人員能夠提升自己的安全意識,為自身企業提供更好的保護。
【編輯推薦】
