如今��,在經(jīng)營企業(yè)過程中一個不容忽視的事實是, 網(wǎng)絡攻擊并沒有消減�����,而黑客們總在試圖找到訪問公司內部網(wǎng)絡和系統(tǒng)的新方法�。黑客們一直鐘情的利用企業(yè)漏洞的一種途徑就是在廠商發(fā)布補丁之前找到軟件中的漏洞。不幸的是��,這種趨勢正在增長���。據(jù)美國國家漏洞數(shù)據(jù)庫的報告����, 2014年平均每天發(fā)現(xiàn)約19個漏洞���,這個數(shù)字比2013年時候有了巨增,而且未來幾年漏洞數(shù)量都將持續(xù)高漲��。
這些漏洞往往無法受到其它安全措施(如防火墻��,因為防火墻往往成為攻擊者直接進入軟件的未知后門)的保護��。安全方案需要知道自己在尋找的內容����,所以將漏洞管理包含在企業(yè)的全局安全方法中是很重要的。漏洞管理就是積極地保障易遭受攻擊的軟件組件的安全��。安全工程師應關注的主要領域往往是操作系統(tǒng)、瀏覽器及其插件��、業(yè)務應用���、Web應用等�����,但是還有許多其它的軟件可能包含潛在的漏洞���。漏洞管理方案可以持續(xù)地掃描特定環(huán)境,不管是掃描服務器還是端點����,都可以查找軟件設計中的缺陷。在找到漏洞后��,我們就可以將漏洞交給適當?shù)娜藛T或團隊�,并由其及時發(fā)布補丁和解決問題。
漏洞管理如何與其它措施協(xié)作
漏洞管理應成為每家企業(yè)的基本安全過程����。為了減少攻擊面,你要確保運行的都是操作系統(tǒng)和其它軟件的最新版本�。為此��,你需要確保漏洞管理方案與配置管理��、補丁管理的過程和方案實現(xiàn)集成����,并使其協(xié)調工作��。在找到漏洞后�,盡快地發(fā)布補丁至關重要,所以這些系統(tǒng)需要協(xié)同運行����。
漏洞管理方案還應當可以訪問某種持續(xù)的監(jiān)視和掃描功能����。以前,企業(yè)往往要求員工每隔一段時間就進行安全掃描�,如每周一次或每天一次。但是�����,在兩個時間點之間����,仍有可能出現(xiàn)零日漏洞被利用的可能�����。零日漏洞的利用就是在軟件廠商發(fā)現(xiàn)漏洞之前就發(fā)現(xiàn)并利用了漏洞���。為捕獲這些潛在的漏洞,你需要持續(xù)地監(jiān)視服務器和端點�,以盡可能減少零日漏洞被利用的范圍。
而且�����,漏洞管理是一個聽起來有些寬泛的詞語����,其內含包括了發(fā)現(xiàn)和管理漏洞的整個過程。屬于這個范疇的一個詞或一類方案就是“漏洞評估”�。當然,漏洞評估是全面的漏洞管理項目的一個關鍵組件����,但漏洞評估方案并不能解決一切問題。這類方案一般處理的是監(jiān)視、發(fā)現(xiàn)���、報告與漏洞管理有關的過程�。但是����,為了正確地響應和修復安全問題,你仍需要一個更全面的項目�����。
雖然多數(shù)企業(yè)認識到虛擬機項目的重要性�,但是這些企業(yè)并沒有通過解決漏洞而構建起能夠減輕風險的強健項目。其中的一些限制條件與企業(yè)缺乏基本的要素有關���,如資產(chǎn)管理���、工作流管理、修復跟蹤系統(tǒng)等���。
優(yōu)秀的漏洞管理方案是怎樣煉成的
在選擇漏洞管理或漏洞評估方案時,你應重視的基本特性包括能夠查找缺失補丁����、錯誤����、系統(tǒng)配置缺陷�����、總體上偏離策略的大程度等方面的能力��。一款好的漏洞管理產(chǎn)品還包括報告功能���,對于企業(yè)來說�����,這尤其重要�����。發(fā)現(xiàn)漏洞此時未必是最大的痛點���,而是應對企業(yè)正在發(fā)現(xiàn)的漏洞的數(shù)量。報告功能以及與求助系統(tǒng)和補丁管理系統(tǒng)的集成能力是企業(yè)應關注的問題�。
如果貴公司在一個高度合規(guī)的行業(yè)中運營,你還要確保漏洞管理平臺支持有關必要的規(guī)范。事實上���,很多政府和行業(yè)規(guī)范都要求強健的漏洞管理實踐����,這意味著企業(yè)別無選擇��,而只能部署一套強健的系統(tǒng)���,這不僅僅是為了防止網(wǎng)絡攻擊����,更是為了保證合規(guī)��。
如果你的漏洞管理過程和方案與SIEM(信息安全和事件管理)能夠集成也是很有益的����,其中后者往往充當公司全面安全方法的基礎。在檢測到漏洞或配置問題后����,理想情況下就應將這些信息提供給SIEM工具,與來自其它源頭(如防火墻和入侵防御系統(tǒng))的信息實現(xiàn)關聯(lián)�����。換句話說����,你要保證漏洞管理方案與盡可能多的不同安全工具共享信息,以便于從每一個可能的角度保護網(wǎng)絡���。
以此觀念為基礎����,適當?shù)穆┒垂芾矸桨傅牧硪粋€基本要求就是它要與CVE(常見漏洞及披露)的數(shù)據(jù)庫相集成�,后者可以給企業(yè)提供一些常見的軟件漏洞的一個清單。這可以確保你的監(jiān)視和掃描方案能夠查找最新的潛在威脅���。為使集成更強健�����,將威脅情報方案添加到總體防御中是很關鍵的����,這可以使企業(yè)更容易獲得實時的零日漏洞利用信息����,在補丁可用之前這是很可行的�。
換言之����,你有一個有漏洞的軟件組件,而且也有此漏洞的一個補丁����,你想盡快應用補丁從而修補漏洞。但是攻擊者一直在不斷地查找其可以利用的漏洞��,在其實施新的漏洞利用時�,在廠商找到漏洞并交付更新補丁之前存在一段時間,這就是漏洞窗口���。這正是你需要持續(xù)地監(jiān)視并且與威脅情報進行整合的原因�����。
云服務和移動設備正在改變世界
無論你是一直遵循漏洞管理的原則或者剛剛開始重視��,你都需要理解這個領域正在發(fā)生改變���,而且隨著新技術的不斷出現(xiàn)���,你需要變換策略才能防止網(wǎng)絡攻擊造成的損害��。不幸的是��,隨著企業(yè)遷移到云和移動設備���,黑客們也轉而重視這些技術�。
事實上�����,軟件即服務(SaaS)供應商一般都擁有最多數(shù)量的漏洞���。云可被用于各種惡意目的����,如垃圾郵件����、發(fā)布惡意軟件、DDoS��、口令和哈希破解等。除了云計算之外�����,大數(shù)據(jù)損害也會產(chǎn)生重大影響���,并有可能產(chǎn)生嚴重的聲譽損害和法律問題����。企業(yè)未充分理解的任何新技術都必然帶來新的威脅和漏洞�。
對今天的漏洞管理策略而言,云計算就是一個挑戰(zhàn)��。而且����,對于要求在高峰需求期間的任何自動擴展服務來說,問題也是這樣���。如果你在基本配置中有一個已知的漏洞�����,并且你現(xiàn)在實施自動擴展的服務器�,你就是在不斷地增加攻擊面。在云環(huán)境中��,更為重要的是�����,你要確保在自動升級之前��,不斷地掃描基本配置的漏洞和進行更新����。
對移動設備而言�����,目前的狀況并不太樂觀�,這是由于移動設備并沒有管理員可以訪問的遠程端口。如果沒有某種預置的客戶端����,要遠程管理這些設備是很困難的,而且�����,如果不是公司發(fā)放的設備,你就不會獲得與公司中其它設備同樣的訪問水平�����。而且����,廠商們有可能正在克服這些困難,而且公司在尋找方法將移動設備納入到其總體的安全策略中�。
隨著時間的推移,會有越來越多的企業(yè)將其移動設備包括在其漏洞管理方案中��,但未必能夠做好�����。從技術的觀點看���,移動設備的管理是很不同的���。事實上,安全團隊并沒有真正地管理移動設備����,而往往是由運營團隊在進行管理�����。問題在于����,企業(yè)必須重視由于移動設備的數(shù)量激增而引起的問題�����。
