安全专家：漏洞管理存在“漏洞”

让我们先从一个案例说起。在某石油生产商的设在远程站点隔离区（De-Militarize Zone，DMZ）中，的系统服务器发出了警报陡然响起。分析师们在研究后得出结论说：，漏洞（vulnerability）扫描程序发现了重大的安全漏洞。IT组织部门在经过几个回合的电子邮件和电话交流后，在几分钟内就掌握了自己需要的信息。

当时的情况是这样的：出现漏洞问题的是报表转发系统，那些被转发的报表在转发之前将会接受用其他程序的方法复核。该系统没有包含过分敏感的信息，而且相对孤立，并未与任何重要的业务流程捆绑，所以其漏洞不会影响到邻近系统。由于该系统位于远程站点，要为该系统打补丁得派一位IT人员乘飞机专程跑一趟。该这家石油公司认为，派专人一位IT管理员专程去打补丁不仅麻烦，从费用上说也不合算。因此IT部门组织的解决方案是：将此次漏洞警报记录下来，在进度计划中预定下次IT人员对远程站点进行日常维护时，再让人顺便解决这个问题。

从这件事案例中，我们所得到的结论是教训：为了实现有效的漏洞管理，IT组织部门必须在考虑商业价值的前提下，合理运用风险管理原则和逻辑。

如今的系统漏洞可谓是层出不穷五花八门，令人防不胜防，比如企业自行开发的应用程序所包含的漏洞，基础设施中存在的缺陷（如安全保护措施不够完备的无线网络）以及还有以桌面终端用户为目标的网络攻击手段等等。如今现在的网络犯罪手段已经从唠唠叨叨、技术落后的网络“蠕虫”（worms）进化到了无影无形、技术先进、目标明确的恶意软件（malware）。

IT组织部门必须与业务单位通力合作，将企业的安全漏洞控制在可接受的风险容忍程度以内，创建将企业计算环境（computing environment）作为整体来处理的业务流程，并且选择合适的技术平台来支持这些流程。

有效的流程

有效的漏洞管理程序必须合理地对技术、商业智能和流程进行平衡。

必要的技术包括漏洞扫描软件，如迈克菲公司（McAfee）的FoundScan软件、夸利斯公司（Qualys）的QualysScan软件或泰纳宝网络安全公司（Tenable Network Security）的Nessus软件；应用程序扫描软件，如惠普公司（Hewlett-Packard）的WebInspect软件和国际商业机器公司（IBM）公司的AppScan软件；以及还有配置和补丁管理工具。然而，如果没有几个重要的漏洞管理流程领军的话，这些工具只是游兵散勇，起不了太大作用。

维护网络安全的一个重要流程是减少受攻击面（attack surface），也就是说减少企业IT系统暴露在外的部分。受攻击面这个术语既可以指的是应用程序或系统整体在容易受到各种途径的攻击面前所暴露的风险程度，也可以指系统作为整体容易受到攻击。企业经常综合使用网络设计演习（network design exercise）习惯做法、访问管理（access management）和配置管理等几大手段来以减少受攻击面。比如说例如，为了减少某系统的受攻击面，可以只将那些必需的服务暴露在网络上暴露，此外禁用或删除不必要的软件，以及并限制经授权可登录系统的用户数量。

有效的漏洞管理计划还能帮助对企业改善整体的安全状况和风险承受能力的管理助一臂之力。通过对漏洞和事故数据的汇总整理，IT部门组织可以提高系统的安全性。通过数据中显示的趋势和相关性，便可以了解显示内部活动和外部事件是如何影响企业风险状况的。这种数据分析有助于评估实施的项目（如打补丁和系统维护）究竟起了多大作用，同时确定哪些领域还需要更多投入。

漏洞管理计划的另一个好处，是能帮助企业达成合规任务。各种技术标准、业务框架、法规（如萨班斯•奥克斯利法案（Sarbanes-Oxley））及针对特定行业的框架（如健康保险流通与责任法案(HIPAA)和污染控制指数(Pollution Control Index,PCI)）等，都推动了企业实施加强控制并对提交有关管理实施成果的提交报告。有效的漏洞管理计划不仅可以帮助企业证明自己通过实施有效的控制措施满足了合规要求，还能在出现合规问题时及时为提醒管理层敲响警钟注意。在成熟的漏洞管理程序中，各种的工具和数据相关性能够提取多样化的各种统计信息（如缺省密码长度、过期时限及复杂度要求等），并将这些信息整合纳入到合规报告中。

然而，我们观察到，虽然一些IT组织企业在安全工具和扫描软件的全面部署上砸下了很多钱，但似曾相识的糟糕结果IT团队还是月复一月、年复一年地不断看到重现似曾相识的糟糕结果。每个月打补丁的做法无疑是杯水车薪，远不能从根本上解决问题，但就目前而言饮鸩止渴，但这也是一种不是办法的办法种做法还是必要的，而且在短期内它还是很有必要的不会消失。不过，然而大多数企业时常在自行开发的应用程序中发现问题，有时补丁过期了30天还没及时打上，有时而使用的设备也不符合规定的标准。很多失败的根源是系统性问题，要判断某个漏洞管理计划是否有效，关键是看它能不能追本溯源处理好根本问题。

那么，我们要怎样做才能打破费时费力却徒劳无功的宿命呢？有以下便是至关重要的几个步骤至关重要。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友