漏洞管理工具方面的幾點注意事項
原創【51CTO.com獨家特稿】用戶應避免漏洞管理工具方面的常見錯誤,并且最充分地利用這種工具。
不要在補救方面偷工減料。
令人驚訝的是,雖然許多企業會進行漏洞掃描,或者請人來進行掃描,但得到一份報告后,卻沒有積極跟進,采取進一步的行動。許多企業可能會選擇一兩個關鍵的掃描結果,卻忽略了其余的掃描結果。這樣做的結果是,雖然企業花了大量的時間和金錢,但是對于加強安全幫助很小。
弗雷斯特研究公司的首席分析師Chenxi Wang說:“一些企業僅僅檢測一下就完事了。檢測結果只是告訴你面臨怎樣的狀況,但是對于降低安全風險幫助很小。”
必須結合一種明確定義的變更控制流程,對漏洞和配置管理進行補救;這種流程應得到漏洞管理工具的支持,并與你的控制機制(如故障單系統)緊密配合起來。漏洞管理工具不但應通過漏洞和錯誤檢測來支持這種流程,還應通過基于安全威脅嚴重程序和高危系統價值的風險評估來支持它。只有重新進行了掃描,證實補救措施已發揮效果(也就是說補丁已成功打上,或配置錯誤已被糾正),整個過程才完成,故障單才可以關閉。
安全顧問Shaheen Abdul Jabbar說:“一些企業非常積極主動,另一些企業卻非常消極被動。我見過這樣的事,安全工作人員進行了掃描,并將結果告訴了IT部門,但沒有回過頭去,檢查漏洞在下一次審查周期之前是不是已被補救。”
要使用掃描服務。
如果貴企業受制于要求定期請第三方掃描的監管法規,那你無論如何沒得選擇。這種情況下,不要僅僅局限于滿足最低的監管要求。應將你的補救流程貫徹到底——優秀的審查人員會要求這么做。
無論你在符合監管要求方面負怎樣的義務,軟件即服務(SaaS)和托管服務對漏洞管理來說都是切實可行的選擇。幾家知名服務提供商高度關注或者甚至完全關注服務,這讓它們可以替代或補充內部掃描。從本質上來說,SaaS服務關注的是面向公眾的系統;為了進行更全面的掃描,服務提供商會將黑盒子設備裝在客戶網絡上,報告掃描結果。
一些企業有所顧慮,不允許掃描后收集而來的這一切數據與企業外面的人共享。你要確保,數據得到了強加密的保護(借助可靠的密鑰管理);只有貴企業授權的人員才可以訪問那些數據,服務提供商的任何員工都無權訪問。
另外,確保認證掃描所需的身份憑證得到了嚴格保護,或借助服務提供商自身的技術,或借助優秀的特權身份管理產品。作為一項服務的漏洞管理可以節省資本開支、管理費用和人手。
此外,應考慮請來顧問或服務提供商(至少應定期這么做),以補充貴企業的內部掃描,起到查漏補缺的作用。請來公正的外人可防止任何內部人員的偏見,或者防止出現為保護自身利益而致使掃描報告內容不全的情況。
要堅持使用實用的報告。
這適用于多個層面。當然在最高層面,你需要趨勢分析和整體狀況報告,好拿給管理人員過目。在安全層面,漏洞管理工具應提供關于漏洞嚴重程度的信息,基于常見漏洞和披露(CVE)列表或通用漏洞評分系統(CVSS)這樣的標準,并結合企業對于該資產的重視程度這個權重。報告應告訴你什么是薄弱的,有多薄弱,風險又有多高。對于負責補救工作的人來說,操作報告應簡明扼要、面向任務。
補丁和配置變更工作通常由網絡操作人員和系統管理員來進行。他們并不是安全專業人員,所以應從補丁和配置變革方面,而不是從漏洞方面來描述報告和指示。
審查報告應清楚地表明:漏洞或配置錯誤已檢測出來,風險已得到評估,故障單已開啟,故障單在問題得到補救后已關閉,以及補救工作得到了最后掃描的驗證。
最后,報告應該能夠稍加改動同一部分數據,即可滿足不同的需要——有的報告針對企業的不同部門和不同類型的受眾,有的報告針對不同內容的監管法規,等等。
邁克菲公司主管風險和合規的高級集團經理Gary Davis說:“在過去,每次為了生成報告,你就得重新掃描一下;但實際上你需要的是掃描一次、生成多份報告的模式,那樣用不著為了每次生成報告而需要掃描。”
要將漏洞管理工具與其他安全工具集成起來。
安全信息和事件管理(SIEM)是首要的安全工具。漏洞管理工具為作為整體風險管理計劃一部分的SIEM提供了關鍵的信息來源。一旦某個漏洞或配置問題檢測出來,相關信息就應該饋送給SIEM工具,與來自其他信息源(如防火墻和入侵防護系統)的信息關聯起來。
漏洞管理工具還要與入侵防護系統集成起來,這種系統可以利用資產庫存和漏洞信息,確定哪些攻擊真正帶來了重大威脅,而哪些攻擊可以放心地忽略。如果漏洞管理工具包括了應用程序掃描功能,那么掃描結果可用來創建或修改Web應用防火墻的保護規則。
原文鏈接:http://www.networkworld.com/news/2011/021411-vulnerability-management-tools-dos-and.html
【51CTO.com獨家譯稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
【編輯推薦】
