安全专家:漏洞管理存在“漏洞”

  作者:马修•米勒(Matthew Miller), 纳撒尼尔•帕菲尔(Nathaniel Puffer ),格雷格•希普利(Greg Shipley)
2008/12/5 10:18:06
面面俱到地保护所有东西照顾到所有细节是不太可能的,关键是要集中火力减少漏洞。

第1步:对收集的数据进行整合

漏洞管理程序的有效性很大程度上不仅取决于所使用的技术,还取决于各组件的整合程度。漏洞识别系统(如漏洞扫描软件,、系统策略及设备配置审计工具等)为数据收集提供了基础工具,但将收集到的数据与变更管理软件紧密地整合到一起也是必要的。

配置管理、补丁管理以及身份和访问管理工具不仅可以将系统维护流程自动化,同时还能让人们实时监控系统和设备状态。将这些产品和漏洞识别工具整合到一起,企业便可以对整体环境的漏洞和风险有一个全面的了解。不过,说归说,要将系统维护工具和漏洞识别系统整合起来谈何容易。

整合工作的关键,是要确定哪些因素对漏洞管理计划至关重要。我们建议采用自上而下的办法。企业应该将列出一个实际使用的系统和数据的列出清单。关键的利益相关者应当该查看对系统状态进行审查,并评估IT组织部署变更的业务能力,并且为了实现更高的安全水准提出更高层次的问题。比如说,企业我们在某个特定区域部署了多少Windows系统?我们Apache系统的漏洞出在什么地方?当IT团队回答诸如此类的问题时,他们应该收集其他到必要的相关信息。如果在欧洲有100个Windows系统,那么知道这个信息足够了吗?我还需要知道MAC地址或者资产所有者吗?

只有这些问题得到解答后,才可以考虑采用其他附加技术。

第2步:制定优先级

在IT组织中,优先级始终是至关重要的的重要性显而易见,但往往只有真正出现问题了,可是它才会引起人们的只有在困难时期才会引起人们的重视。毫无疑问很明显,在部署漏洞管理的时候,人们必须能够很容易地排列优先级的排列必须一目了然。这通常意味着建立对资产进行分组,组合(groups of assets)以提高数据收集效率,;或是者建立对责任人进行分组所有者组合(groups of owners),以便使报表报告更具相关性和可操作性。各组合通常是根据区域、职能或技术等来归类的。在确定安全状况时,资产分组合应该与业务功能保持一致。各组合必须规模合适当,易于管理,同时责任明确。

在减少受攻击面的问题上,分组的责任人应所有权组合(ownership groups)包括IT经理、数据中心所有者负责人以及其他负责维护系统安全和完整性的IT人员。在处理企业范围内的安全问题时,所有权群体责任人通常包括安全组织的成员、内部审计员以及业务单位。以合规为导向的所有权组合责任人应当配合那些专门负责合规执行和报告的人员。

第3步:不断完善

要想持续地完善系统实现不断完善的目标,企业必须人们得了解单个因素如何影响漏洞管理程序目标的实现。上下表列出了七7个相关因素与漏洞管理目标相关的因素的关联方式。

在确定安全状况或合规水平时,高质量的数据至关重要。如果说明明有漏洞却错过不报会制造成虚假安全感的话,那么低质量数据却就可能会导致误报(false positives),也就是说明明不存在漏洞却声称发出警报存在。当减少受攻击面成为当务之急时,IT部门组织应该经常收集数据,但数据采集的频率在确定安全状况时,就却不那么重要必那么频繁地收集数据了。为满足合规要求而进行的数据收集采集,其频率频繁程度应遵循具体的合规要求。

了解趋势对要了理解安全状况、漏洞削减项目的成效以及与合规相关的活动,就应当对趋势有所掌握非常有用。趋势信息可以显示IT组织的风险状况如何随时间的推移而变化,外部事件(如漏洞和补丁发布)如何影响企业的安全状况。(译/蔡晶)

衡量成效:前方之路

IT部门组织如何如果想在让漏洞管理项目上不断地取得成功,以下四大原则必须时刻牢记在心。

  • 原则1:重视输出而非输入。工具仅仅是为达到目的所采用的手段。对漏洞管理来说,数据收集是一项基本需求,但进而向相关人士提供及时准确、内容恰如其分恰当的报告也是非常重要的。许多IT部门组织有能力开发出生成大量数据的程序,但却很难对无法使数据进行有效的更容易操作和评估。
  • 原则2:与业务流程保持一致。了解业务流程并将漏洞管理流程与之进行整合,这对理解企业风险并致力于最锁定关键的领域是极其端重要的。
  • 原则3:不断整合各种技术。在漏洞管理程序中纳入包含变更和配置技术可以提高数据的可靠性,生成准确的报表,降低企业风险,实现合规目标,从而提高整体效率。
  • 原则4:利用评估标准,提高可见度。制定关键的性能指标,比如说可接受的主机/漏洞比率(host-to-vulnerability ratio),并利用评估工具将漏洞管理项目的重点集中到最关键的活动上。

来源:信息周刊

共2页: [1]2 下一页
责编:姜玲
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map