如何使用漏洞管理工具保護數據
網絡安全問題包含太多,那么針對漏洞,我們可以使用工具進行數據保管。那么這里就來介紹一下漏洞管理工具的相關應用。很多機構都發現將自己的漏洞管理(VM)服務外包給別的公司有助于減少員工數量、日常開支、設備費和人事費用。但是在考慮外包漏洞管理服務能帶來的諸多益處之前,機構應該謹記,期望值設定的高低在一定程度上決定了這個項目能否成功。外包公司清楚地知道,設定清晰直接的服務等級協議,完成合同上所有的指標可以避免項目開始后發現不清楚的地方,如升級導致的混亂問題和責任事故。然而最有可能被忽略的是,誰將控制數據訪問和數據分享的途徑。怎樣才能把漏洞管理服務外包公司獲取到的信息和服務供應商利用漏洞掃瞄器(如Nessus)和網絡入侵檢測系統(如Snort)收集到的信息結合起來,建立更全面的安全評估?我們一起看看下面的方法。
安全信息和事件管理以及規則遵從報表
“知識就是力量”就是安全信息和事件管理(SIEM)以及規則遵從報表行業的真實寫照。所有的安全信息和事件管理解決方案都需要大量的數據,如日志文件和系統信息等等。對數據資源庫、日志集中工具(如Loglogic)和COTS SIEM產品(如ArcSight、eSecurity/Novell)也是如此。沒有這些數據就不可能對系統的安全現狀進行評估。
無論安全信息和事件管理工具的使用者是外包公司還是終端客戶,他們都需要從防火墻、防毒網關和網絡入侵檢測系統(IDS)等產品中獲取日志信息和事件信息。機構使用外包公司的漏洞管理數據的一種方法是,將漏洞評估獲取的數據和從IDS獲取的數據結合起來。這不僅為機構提供了數據,而且允許機構將特定的IDS警報與成功的攻擊鏈接在一起。
獲取的漏洞管理數據對機構來說有著重大的價值,特別是在審計的時候。很多VM工具都會建立它們管理的服務器和設備的數據清單。相應地,一些VM服務供應商也會使用客戶提供的數據。漏洞管理工具也會實時捕捉主機或服務器的安全狀況。舉個例子,主機使用的是什么操作系統?系統目前運行了哪些服務?現有的補丁是什么水平?所有的這些信息都對SIEM、配置報告以及管理工具起到至關重要的作用。實際上,很多審計員都會特別要求擬出一份關于設備網絡狀況和補丁情況的數據清單。當發生蠕蟲病毒通過網絡站點進行傳播這類安全威脅時,在設備的網絡狀況和補丁狀況都在掌握之中的情況下,一個具有報警功能的SIEM能夠更好地利用已有數據應對潛在的危險。
與VM服務外包公司合作
關于與VM服務外包公司合作,這里有如下建議:
◆要完全了解VM服務外包公司獲取的數據情況。在簽訂合同之前,確保與外包公司達成一致,你擁有實時訪問數據的權利,因為這些數據是通過掃瞄你的站點而得到的。
◆與外包公司確認他們所使用的產品以及信息分享的方式。通過CSV文件或者XML可以分享這些數據嗎?你的SIEM或者法規遵從工具能夠自動讀取日志文件和警告信息嗎?理想的情況是你能夠將你的SIEM或者法規遵從工具與外包公司的VM工具直接鏈接,以實現實時數據共享。另一個引申而來的問題是與外包公司就計劃如何將這些數據應用在服務改進中進行談判。比如說,目前已經完成的某些任務可以如何優化以提高效率。如果對誤報有一個記錄,判斷的標準就更精確些,管理員就不需要不斷地檢查同樣的警告了。
◆VM收集到的一些數據,比如完成補丁所需的時間,可以成為關鍵性能指標(KPI),并可以體現出一些關鍵性能的改進情況。但最根本的問題是:如果外包公司不允許你訪問這些本屬于你自己的,而且很有價值的數據,那你就要仔細考慮是否要和他們合作了。
外包公司的漏洞管理工具獲取的信息包含了你的設備狀況和補丁狀況等關鍵信息。即使你覺得你已經掌握了這些數據信息,依然要留心去比較那些信息,而不是直接就確定。所以當你和你的VM外包公司討論系統正常運行時間和覆蓋范圍時,不要忘記要求數據訪問和使用的權限。因為這是你的數據信息——所以要確保你能夠使用這些信息,從而使你的網絡安全評估更加完善。
【編輯推薦】
