企业漏洞管理对于企业安全人员来说是一门必修功课,但是在漏洞层出的今天,不可能保证将所有的漏洞都侦查到。但是我们可以通过将企业漏洞管理化整为零,或许可以实现更为有效地防御。在这一节里,我们将以SANS研究机构主席Stephen Northcutt的培训会议(SANS安全领导要素)为基础来进行漏洞管理的阐述。
五个企业漏洞管理原则
Northcutt任务对于任何需要进行漏洞管理的地方,都包含下列五个必须优先考虑的项目:
漏洞是有威胁存在的表现
缺乏补救措施的漏洞扫描没有什么价值
即便是少量的扫描和补救都比大量扫描却缺乏补救措施要强
在了解到哪些风险会给网络带来最大风险的基础上,必须优先需要修复的漏洞
安全从业人员应具备一个能让他们追踪漏洞的进程,以便能经常而有效地修复漏洞。
在强调“从小做起”的价值时,Northcutt称,一次扫描的量不需很多,但是及时修复漏洞是为了避免漏洞越积越多,威胁越来越大。如果,你具备足够的修复能力,而不去修复,那就是一种不作为。
一旦发生数据泄漏,而且追查原因发现是公司早就知道却没有修复的漏洞造成的,那后果无疑很严重,甚至有可能惹上官司。
基本的威胁向量
下一步,Northcutt认为有必要对企业必须了解的基本威胁向量进行识别。它们分别是:
来自网络的外部攻击
来自网络(VPN)的内部攻击
来自电话的外部攻击
来自局域网的内部攻击
来自本地系统的内部攻击
恶意攻击
Northcutt将最大的顾忌称为“支点的力量”。所有攻击者需要的其实只是一个“立足点”。他认为,如果有漏洞没有打上补丁,而其他人又可以从外部访问这个漏洞,那系统就会遭受损失,而这样的系统会成为黑客进一步入侵其他系统的跳板。
心理因素
对于那些要抓住漏洞管理的重要性的公司行政人员来说,有必要用职员易懂的语言来说明。
老板会担心什么问题呢?Northcutt给出了下列可能:
web服务器受损可能暴露企业信息招致其他人的奚落
而遭受损失可能暴露客户的隐私信息,这可能为公司引来官司
对公司有非议的内部职员或许想使坏,比如引发一个逻辑炸弹
对现状不满的人,可能向其他人出卖公司数据
容易被社交工程欺骗的雇员可能泄露敏感数据
入侵系统的黑客可能找到公司不可告人的秘密进而对公司进行敲诈勒索。
要了解问题的严重性,工作人员需要审视来自三个视角的挑战。外部视角——如果你立足于企业网络外部,就有能力看到外部情况;内部视角,重点在于系统的配置是否得当,用户视角,用户主要从web和邮件来接入网络。
为什么企业需要从这个三个视角来考虑问题呢?Northcutt解释道:
大多数企业只用类似Core Impact Nessus或NeXpose的扫描器实现外部查看
如果用户在上网过程中遭遇恶意网站,其系统会被黑客利用,最后沦为黑客攻击其他系统的工具
SCADA多年的安全模式是,如果你没有联网,就不用有什么担心。随着越来越多的SCADA系统接入网络,我们担心也是与日俱增。
有了这些东西在手,就是时候看看各种扫描程序和渗透技巧了。
通过我们分析企业漏洞管理的五项基本原则和企业的基本威胁向量,希望广大的安全人员能够提升自己的安全意识,为自身企业提供更好的保护。
【编辑推荐】
