【51CTO.com独家特稿】用户应避免漏洞管理工具方面的常见错误,并且最充分地利用这种工具。
不要在补救方面偷工减料。
令人惊讶的是,虽然许多企业会进行漏洞扫描,或者请人来进行扫描,但得到一份报告后,却没有积极跟进,采取进一步的行动。许多企业可能会选择一两个关键的扫描结果,却忽略了其余的扫描结果。这样做的结果是,虽然企业花了大量的时间和金钱,但是对于加强安全帮助很小。
弗雷斯特研究公司的首席分析师Chenxi Wang说:“一些企业仅仅检测一下就完事了。检测结果只是告诉你面临怎样的状况,但是对于降低安全风险帮助很小。”
必须结合一种明确定义的变更控制流程,对漏洞和配置管理进行补救;这种流程应得到漏洞管理工具的支持,并与你的控制机制(如故障单系统)紧密配合起来。漏洞管理工具不但应通过漏洞和错误检测来支持这种流程,还应通过基于安全威胁严重程序和高危系统价值的风险评估来支持它。只有重新进行了扫描,证实补救措施已发挥效果(也就是说补丁已成功打上,或配置错误已被纠正),整个过程才完成,故障单才可以关闭。
安全顾问Shaheen Abdul Jabbar说:“一些企业非常积极主动,另一些企业却非常消极被动。我见过这样的事,安全工作人员进行了扫描,并将结果告诉了IT部门,但没有回过头去,检查漏洞在下一次审查周期之前是不是已被补救。”
要使用扫描服务。
如果贵企业受制于要求定期请第三方扫描的监管法规,那你无论如何没得选择。这种情况下,不要仅仅局限于满足最低的监管要求。应将你的补救流程贯彻到底——优秀的审查人员会要求这么做。
无论你在符合监管要求方面负怎样的义务,软件即服务(SaaS)和托管服务对漏洞管理来说都是切实可行的选择。几家知名服务提供商高度关注或者甚至完全关注服务,这让它们可以替代或补充内部扫描。从本质上来说,SaaS服务关注的是面向公众的系统;为了进行更全面的扫描,服务提供商会将黑盒子设备装在客户网络上,报告扫描结果。
一些企业有所顾虑,不允许扫描后收集而来的这一切数据与企业外面的人共享。你要确保,数据得到了强加密的保护(借助可靠的密钥管理);只有贵企业授权的人员才可以访问那些数据,服务提供商的任何员工都无权访问。
另外,确保认证扫描所需的身份凭证得到了严格保护,或借助服务提供商自身的技术,或借助优秀的特权身份管理产品。作为一项服务的漏洞管理可以节省资本开支、管理费用和人手。
此外,应考虑请来顾问或服务提供商(至少应定期这么做),以补充贵企业的内部扫描,起到查漏补缺的作用。请来公正的外人可防止任何内部人员的偏见,或者防止出现为保护自身利益而致使扫描报告内容不全的情况。
要坚持使用实用的报告。
这适用于多个层面。当然在最高层面,你需要趋势分析和整体状况报告,好拿给管理人员过目。在安全层面,漏洞管理工具应提供关于漏洞严重程度的信息,基于常见漏洞和披露(CVE)列表或通用漏洞评分系统(CVSS)这样的标准,并结合企业对于该资产的重视程度这个权重。报告应告诉你什么是薄弱的,有多薄弱,风险又有多高。对于负责补救工作的人来说,操作报告应简明扼要、面向任务。
补丁和配置变更工作通常由网络操作人员和系统管理员来进行。他们并不是安全专业人员,所以应从补丁和配置变革方面,而不是从漏洞方面来描述报告和指示。
审查报告应清楚地表明:漏洞或配置错误已检测出来,风险已得到评估,故障单已开启,故障单在问题得到补救后已关闭,以及补救工作得到了最后扫描的验证。
最后,报告应该能够稍加改动同一部分数据,即可满足不同的需要——有的报告针对企业的不同部门和不同类型的受众,有的报告针对不同内容的监管法规,等等。
迈克菲公司主管风险和合规的高级集团经理Gary Davis说:“在过去,每次为了生成报告,你就得重新扫描一下;但实际上你需要的是扫描一次、生成多份报告的模式,那样用不着为了每次生成报告而需要扫描。”
要将漏洞管理工具与其他安全工具集成起来。
安全信息和事件管理(SIEM)是首要的安全工具。漏洞管理工具为作为整体风险管理计划一部分的SIEM提供了关键的信息来源。一旦某个漏洞或配置问题检测出来,相关信息就应该馈送给SIEM工具,与来自其他信息源(如防火墙和入侵防护系统)的信息关联起来。
漏洞管理工具还要与入侵防护系统集成起来,这种系统可以利用资产库存和漏洞信息,确定哪些攻击真正带来了重大威胁,而哪些攻击可以放心地忽略。如果漏洞管理工具包括了应用程序扫描功能,那么扫描结果可用来创建或修改Web应用防火墙的保护规则。
原文链接:http://www.networkworld.com/news/2011/021411-vulnerability-management-tools-dos-and.html
【51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】
【编辑推荐】