漏洞管理一：了解漏洞管理的需求

　　對于網(wǎng)絡(luò)罪犯，網(wǎng)絡(luò)上的漏洞是一種隱藏、高價值的資產(chǎn)。當(dāng)被公開時，這些漏洞可被針對性地利用，可能會導(dǎo)致非授權(quán)侵入，暴露機密信息，為竊取身份、盜竊商業(yè)秘密、違反隱私法律法規(guī)或癱瘓業(yè)務(wù)運營提供燃料。

　　由于軟件缺陷、應(yīng)用和IT設(shè)備的錯誤配置，以及常規(guī)的錯誤，每天都會有新的漏洞出現(xiàn)。無論起源來自哪里，漏洞不會自己消失。因此，對他們的檢測、清除和控制要求進行漏洞管理。漏洞管理意味著對漏洞進行管制，連續(xù)地使用專用安全工具和工作流程，積極幫助用戶消除被利用的風(fēng)險。

　　誰有危險?

　　每個企業(yè)都要面臨維持一個安全、開放和互聯(lián)網(wǎng)絡(luò)的挑戰(zhàn)--易于與遍及世界各地的客戶、供應(yīng)商和業(yè)務(wù)合作伙伴交換信息。

　　不幸的是，使這些信息即可用又安全是一件非常困難的工作。蠕蟲、病毒和其他安全問題會不斷形成信息被盜和業(yè)務(wù)中斷的威脅。更多的，每天出現(xiàn)新漏洞和新威脅的速度在急劇增加--這使挑戰(zhàn)變得更加嚴峻。

　　由于漏洞的出現(xiàn)，與互聯(lián)網(wǎng)連接的每項業(yè)務(wù)都存在風(fēng)險。無論是中小企業(yè)，還是跨國公司或是政府機構(gòu)–基本沒有什么區(qū)別，都處于危險之中。

　　解決的方案是通過消除他們的起源，減小網(wǎng)絡(luò)漏洞對網(wǎng)絡(luò)的安全威脅。

　　漏洞如何使網(wǎng)絡(luò)處于危險

　　早在計算機的初期，漏洞就一直困擾著操作系統(tǒng)和應(yīng)用軟件。他們曾經(jīng)是罕見的，但現(xiàn)在通過互聯(lián)網(wǎng)，幾乎每天都能看到攻擊的案例。這一全球性途徑為黑客和犯罪分子提供了方便的連接，使他們能容易地訪問用戶的網(wǎng)絡(luò)和計算資源。當(dāng)用戶的網(wǎng)絡(luò)連接設(shè)備沒有安全更新時，這些未打補丁的設(shè)備很容易受到各種漏洞攻擊。如果這些漏洞不能確認并修復(fù)，各種業(yè)務(wù)都會受到影響。

　　漏洞從哪里來?

　　編程錯誤導(dǎo)致了軟件中大多數(shù)的漏洞。一種常見的??錯誤是未能檢查數(shù)據(jù)緩沖區(qū)的大小-- 一種記憶儲存箱，一臺計算機要在那里執(zhí)行相關(guān)功能。當(dāng)一個緩沖區(qū)溢出時，會導(dǎo)致把數(shù)據(jù)寫到相鄰的緩沖區(qū)。這會破壞堆?；騼?nèi)存堆區(qū)，這可能被病毒、蠕蟲或其他內(nèi)容所利用，允許攻擊者的代碼執(zhí)行。

　　計算機科學(xué)家估計，在每千行軟件代碼中大約會出現(xiàn)5?20個錯誤(臭蟲)，所以看到定期公布的新漏洞與相關(guān)補丁和解決方法就不足為奇。漏洞的危險與通用的軟件一起成長，特別是實施者插入了面向?qū)ο缶幊檀a的未測試模塊。當(dāng)代碼的質(zhì)量稍差、不好或僅為簡單錯誤時，專家稱之為“非穩(wěn)健”狀態(tài)。放置在公共領(lǐng)域的代碼模塊可能包括了因特網(wǎng)協(xié)議標準非穩(wěn)健實現(xiàn)，在真實世界的網(wǎng)絡(luò)中使用時，這些模塊容易成為攻擊的目標。

　　漏洞必須定期地確定并消除，因為每天都會發(fā)現(xiàn)新漏洞。例如，微軟在每月的第二個星期二都會發(fā)布公告和補丁程序-- 通常被稱為“補丁星期二”。

　　粗心的程序員不是漏洞的唯一來源。例如，配置不當(dāng)?shù)陌踩珣?yīng)用，如防火墻;可能的攻擊者，如漏網(wǎng)之魚溜過應(yīng)關(guān)閉的端口;使用移動設(shè)備的人員可以使用未授權(quán)或甚至是惡意軟件感染的網(wǎng)站，無需通過企業(yè)的虛擬專用網(wǎng)(VPN);也許認為官方VPN是一種麻煩，人們想要瀏覽京東、易趣或是本地的在線個人廣告。

　　讓安全警衛(wèi)就這樣倒下，等于把設(shè)備和網(wǎng)絡(luò)暴露在攻擊之下。我們甚至在點擊受惡意件感染的電子郵件附件時就觸發(fā)了一次攻擊。

　　利用因特網(wǎng)的漏洞是一個巨大的問題，需要進行主動地控制和管理。這就是為什么企業(yè)需要使用漏洞管理-- 檢測和消除漏洞，降低整體安全危險，防止機密泄露。

　　仔細查看攻擊的趨勢

　　在泄露消息中，揭示了全球數(shù)以百萬計的保密消費記錄無情曝光。這足以說明了為什么企業(yè)必須要更多的保護網(wǎng)絡(luò)免受攻擊。但在安全威脅領(lǐng)域中，重大的變化是提高門檻，大型和小型企業(yè)都要積極盡量減少對漏洞的攻擊。

　　最近的數(shù)據(jù)顯示，利用漏洞不再僅限于普通病毒、蠕蟲、木馬和其它單矢量攻擊等傳統(tǒng)危險。根據(jù)賽門鐵克公司進行的全球調(diào)查，威脅已經(jīng)“離開了滋擾和破壞性攻擊，朝著獲取經(jīng)濟利益為目的”。該報告刻畫了五種新趨勢(有興趣請在閱讀詳情)，包括：

　　● 惡意活動的專業(yè)水平和商業(yè)化;

　　● 對特定地區(qū)越來越多的專門威脅;

　　● 多級攻擊的數(shù)量增加;

　　● 攻擊者首先利用可信實體瞄準受害者;

　　● 攻擊方法的融合。

　　受訪者對計算機安全研究所的計算機犯罪和安全調(diào)查報告說，金融詐騙造成了最大的財務(wù)損失(占總數(shù)的31%)，比較于病毒/蠕蟲/間諜軟件(12%)，外人的系統(tǒng)滲透(10%)，或竊取機密數(shù)據(jù)(8%)。從12年系列計算機犯罪報告中(請見)，可了解更多信息。

　　網(wǎng)絡(luò)攻擊的后果會構(gòu)成了嚴重的金融風(fēng)險，因此企業(yè)需要通過部署多層安全技術(shù)，如防病毒/反間諜軟件、防火墻、入侵檢測/防御、VPN和加密，阻止惡意件和其他攻擊。這樣的技術(shù)是網(wǎng)絡(luò)安全的必要組件，在企業(yè)的目的領(lǐng)域中非常有效，但還沒有進行最基本的安全措施：漏洞管理。

　　檢測和刪除漏洞

　　漏洞管理已經(jīng)從運行簡單的掃描器開始演變，對應(yīng)用、計算機或網(wǎng)絡(luò)來檢測常見弱點。掃描是漏洞管理的一個必要元件，但漏洞管理還包括其他技術(shù)和工作流程，為控制和消除漏洞貢獻了需要的大局觀。漏洞管理的主要目標是：

　　● 識別并修復(fù)軟件的錯誤，不影響安全、性能或功能;

　　● 改變功能或應(yīng)對新的安全威脅，如更新防病毒特征;

　　● 更改軟件配置，使其不易受攻擊，運行更快或改進功能;

　　● 使用最有效的手段阻止自動攻擊(如蠕蟲，僵尸網(wǎng)絡(luò)等);

　　● 啟用對安全危險的有效改進和管理;

　　● 為審計和遵守法律、法規(guī)和業(yè)務(wù)策略記錄安全狀態(tài)。

　　如果僅用人工方式去做，一貫、持續(xù)的漏洞管理是很難的。企業(yè)應(yīng)使用及時和高性價比的方式采取行動。對所有設(shè)備定期的重復(fù)工作要大量消耗時間–并低效使用IT和網(wǎng)絡(luò)人員的時間。為此，企業(yè)需要更多的自動化和簡單化工作，實施到漏洞管理的每個元件，這些內(nèi)容我們將在第二部分討論。

　　組織起來實施漏洞管理

　　當(dāng)企業(yè)準備實施漏洞管理時，一定要把安全放在最優(yōu)先的位置。這一步的時髦名詞是策略管理。策略管理決定了確保安全的控制要求，如為所有安全設(shè)備和應(yīng)用，包括防病毒、防火墻和入侵檢測/防御的標準配置。策略和控制應(yīng)包括服務(wù)器、網(wǎng)絡(luò)服務(wù)、應(yīng)用和端點。

　　策略管理過去采用的是手動、繁瑣的過程。新軟件工具可以進行自動策略管理和執(zhí)行對端點設(shè)備的配置。自動化節(jié)省了時間，提高了準確度，并降低了擁有總成本。

　　遵從法規(guī)

　　漏洞管理可以自動記錄是否遵從法規(guī)。漏洞管理的一個主要收益是漏洞管理軟件提供內(nèi)置的報告。其中一些報告可作為審計檢查合規(guī)的文件。

　　在金融交易、醫(yī)療健康和許多自動化解決方案中的安全要求不斷增長。

　　為電子數(shù)據(jù)的保密性、完整性和可用性，防止信息安全漏洞，合法的網(wǎng)絡(luò)安全需求出現(xiàn)在越來越多的政府和行業(yè)的特定法規(guī)中。組織機構(gòu)不完全符合并遵循最新的安全法規(guī)，將面臨嚴重的潛在后果-- 包括罰款和民事(有時是犯罪)懲罰。第三部分將給你介紹更多關(guān)于漏洞管理和法規(guī)遵從。

　　讀者在本文中可了解很多關(guān)于漏洞管理的知識，但在腦海里要記住相關(guān)的法規(guī)遵從-- 尤其這涉及到公司的法規(guī)。該法規(guī)可以用于某些漏洞管理相關(guān)的流程或技術(shù)。漏洞管理相關(guān)技術(shù)提供的報告，比如那些來自掃描和補丁管理系統(tǒng)。網(wǎng)絡(luò)和IT部門使用這些報告來記錄網(wǎng)絡(luò)安全審計和整治，包括涉及到危險嚴重的漏洞細接、優(yōu)先列表，并核實用補丁或解決方法修復(fù)的漏洞。

　　合規(guī)最重要的理念是漏洞管理可以自動做很多事情，這些事情曾經(jīng)是昂貴、耗時的手動流程。獲得正確的漏洞管理解決方案不僅能保護你的網(wǎng)絡(luò)和數(shù)據(jù)-- 通過漏洞管理自動化，它也可以節(jié)省你的費用，任何企業(yè)都可以輕松地使用自動漏洞管理。