漏洞管理二：進行漏洞管理(上)

　　漏洞管理(VM)是指系統(tǒng)地發(fā)現(xiàn)和消除網絡漏洞。漏洞管理使用的技術需要許多步驟或過程。有些步驟需要IT人員實施和跟進。整合這些過程能產生更強的網絡安全并保護企業(yè)的系統(tǒng)和數(shù)據(jù)。要實現(xiàn)成功的漏洞管理，企業(yè)需要管理全部有明確安全策略的活動。

　　把漏洞管理放入安全策略中

　　“策略”是一個時髦的術語，可能會使IT專家目瞪口呆。但是，掌握策略想法進行漏洞管理會讓IT人員覺得像個CEO或者政治家那樣重要。漏洞管理的安全策略可以更容易地定義行動，指導關于設置漏洞管理程序決策的制定。好策略能使企業(yè)和IT安全團隊更容易、更快地發(fā)現(xiàn)漏洞，修復這些安全漏洞，并生成文檔，滿足合規(guī)的審計要求。

　　企業(yè)的策略創(chuàng)建和管理開始于組織的頂部，并要求行政監(jiān)督，確保系統(tǒng)的實施。以下是一些關鍵的考慮因素：

　　● 策略決定了使用控制確保安全的性質，如標準配置所有安全設備和應用，包括防病毒、防火墻和入侵檢測和防御。 IT安全專家應創(chuàng)建一個帶有配置和特性短名單的矩陣，使決策者能夠理解他們安全控制的選項。

　　● 策略和控制應用于服務器、網絡服務、應用和端點。

　　● 決策者們需要確定漏洞對每個資產(或資產組)的業(yè)務影響。例如，選擇午餐菜單的系統(tǒng)不能比維護客戶信息或金融數(shù)據(jù)的系統(tǒng)更重要。優(yōu)先級由衡量每個資產業(yè)務風險和重要性決定，從而影響漏洞修補的緊迫性和完成順序。

　　有些企業(yè)已經使用軟件進行策略管理、風險相關分析和安全管理。尋找漏洞管理的解決方案，包括應用編程接口(API)，可使漏洞管理與現(xiàn)有安全策略自動整合。

　　第一步：跟蹤商品清單和分類資產

　　為了修復漏洞，企業(yè)必須先了解什么是網絡中資產(如服務器、臺式機和設備)，然后進行測試，發(fā)現(xiàn)可能存在的漏洞。

　　跟蹤商品清單和分類資產建立了一個評價基準。在這個步驟中，企業(yè)需要創(chuàng)建并不斷維護連接在網絡上所有因特網協(xié)議(IP)設備的數(shù)據(jù)庫。這里是企業(yè)在網絡中連接的實際資產，由策略確定這些資產的相對商業(yè)價值。

　　識別企業(yè)的商品清單

　　漏洞掃描通常通過引導掃描器對一特定IP地址或地址范圍進行，因此通過IP來組織企業(yè)的數(shù)據(jù)庫是非常有用的。圖2-1給出了一個例子：

　　圖2-1：創(chuàng)建網絡資產數(shù)據(jù)庫。

　　資產組元件中包括所有的硬件、軟件、應用、服務和配置。跟蹤到這種詳細程度提供了以下好處：

　　● 該數(shù)據(jù)使企業(yè)能識別哪些漏洞影響到IT基礎設施的特別子集。

　　● 跟蹤商品清單有助于加速掃描過程，因為它能并行掃描多個資產組。企業(yè)可以手動跟蹤該數(shù)據(jù)，但通過自動化整個商品清單過程，能使漏洞管理的發(fā)現(xiàn)和跟蹤要有效得多。圖2-2顯示了在漏洞管理發(fā)現(xiàn)過程中發(fā)現(xiàn)的網絡設備映射。

　　● 準確的商品清單保證了在修復過程中選擇和應用正確的補丁。

　　圖2-2：每個網絡資產的自動映射和跟蹤。

　　通過業(yè)務風險排列資產優(yōu)先級

　　一個自動化的漏洞管理系統(tǒng)提供了把業(yè)務風險優(yōu)先級分配到每個網絡資產的能力。這更容易修補計算機相關的漏洞、實施策略和規(guī)程-- 遠比使用筆記本更準確。漏洞管理數(shù)據(jù)庫的輸入控制屏幕，如圖2-3中所示，能基于安全風險對特定網絡資產進行業(yè)務風險自動分配。

　　當企業(yè)使用該系統(tǒng)時，該漏洞管理資產跟蹤系統(tǒng)結合了這些業(yè)務風險。圖2-3顯示了這些值自動分配到企業(yè)特定部分的資產類。

　　該結果使自動化系統(tǒng)按業(yè)務風險跟蹤所有網絡資產，并把他們與已知漏洞相關聯(lián)。

　　圖2-3：由業(yè)務風險分配網絡資產的優(yōu)先級。

　　第二步：掃描系統(tǒng)的漏洞

　　漏洞管理有很多步驟，但掃描是發(fā)現(xiàn)和修復網絡漏洞的基本過程。掃描技術的選擇是漏洞管理系統(tǒng)有效性最重要的元素。

　　漏洞掃描通過檢查網絡基礎架構中的漏洞，來測試安全策略和控制的有效性。掃描提供了兩種收益：

　　1.該掃描系統(tǒng)地測試和分析IP設備、服務和應用的已知安全漏洞。

　　2.掃描后的報告揭示了實際的漏洞，并指出企業(yè)需要解決的優(yōu)先級。

　　啟動掃描

　　漏洞掃描由一個漏洞管理應用啟動。企業(yè)通?？梢园才乓粋€自動掃描或按需掃描。該掃描請求需要指明特定的主機，要檢查的漏洞，指定IP地址、IP范圍和資產組的各種組合。圖2-4顯示了掃描的自動啟動。

　　圖2-4：自動啟動掃描。

　　這些內容需要在啟動前收集：

　　● 至少，需要IP地址(或IP地址范圍)，用于企業(yè)域和子網絡。

　　● 如果要掃描特定的設備，需要在啟動掃描之前識別它們的IP。

　　● 需要你企業(yè)的業(yè)務合作伙伴準備好IP地址，他們的網絡與企業(yè)的網絡集成業(yè)務功能共享應用。一些企業(yè)法規(guī)要求掃描業(yè)務合作伙伴，為了確保私人身份信息的機密性、完整性和可用性-- 無論是客戶、員工或合作伙伴。如果他們的網絡與企業(yè)的網絡集成，企業(yè)需要掃描他們的IP地址，事先要提醒這些合作伙伴。

　　掃描工具的選項

　　掃描工具有很多選項。所有都要使用已知風險的漏洞數(shù)據(jù)??庫，但這些數(shù)據(jù)庫有不同的覆蓋和有效的質量。有些需要企業(yè)安裝和維護軟件應用，如Nessus公共域掃描器。這些都需要時間和資源-- 加上他們攜帶典型的運行開銷。

　　與此相反，軟件應用也可以由供應商托管并通過因特網用Web瀏覽器使用。這種交付模式稱為軟件即服務(SaaS)，很多企業(yè)開始使用SaaS完成多種應用-- 包括漏洞管理。使用SaaS的漏洞管理解決方案提供了用互聯(lián)網按需求進行掃描的能力。用戶只需登錄自己的賬戶并在線管理一切。SaaS服務工作不需特殊軟件，并始終保持最新的和最全面的漏洞特征。因此，用戶不必擔心掃描技術的更新，因為他們在漏洞管理系統(tǒng)中自動更新。我們在第三部分將更詳細地介紹使用SaaS進行漏洞管理的好處。

　　案例#1：來自惡意無線設備的威脅

　　各種規(guī)模的企業(yè)都使用無線接入點，這樣做具有未聯(lián)機計算并提供移動性的巨大收益。但移動性也使企業(yè)網絡的失去了保護。這意味著，惡意設備可以很容易地繞過像防火墻和入侵防御等傳統(tǒng)的網絡安全控制。當一個部門安裝一個未授權無線接入點時，出現(xiàn)了一個共同問題-- 不經意間，通過無保護端點對蠕蟲、病毒和其他風險暴露了整個企業(yè)的網絡和資產。

　　包含一些漏洞管理解決方案的網絡映射功能可以識別惡意設備并掃描到漏洞。掃描網絡中的惡意系統(tǒng)是防止攻擊的一個關鍵步驟。下圖顯示了識別未知“惡意”設備的漏洞管理報告。

　　掃描什么?

　　掃描什么的簡單答案是這樣的：在連接到企業(yè)的網絡有相當多的東西。下面是掃描到內容的列表：

　　● 操作系統(tǒng)：微軟的Windows Vista，XP，CE，NT，2003，2000; Linux的BSD; MacOS X;Solaris;HP-UX;IRIX;AIX;SCO;Novell。

　　● Web服務器：Apache，微軟ISS;iPlanet;Lotus Domino;Ipswitch;Zeus;對虛擬主機的完全支持。

　　● SMTP / POP服務器：Sendmail;微軟的Exchange;Lotus Domino;網景的消息服務器;Qmail。

　　● FTP服務器：IIS FTP服務器;WuFTPd;WarFTPd。

　　● 防火墻：Check Point防火墻-1/ VPN-1和NG;思科PIX;JuniperNetScreen;Gauntlet;CyberGuard;Raptor。

　　● 數(shù)據(jù)庫：Oracle;SYBASE;MS SQL;PostgreSQL; MySQL。

　　● 電子商務：Icat;EZShopper;Shopping Cart;PDGSoft;Hassan Consulting Shopping;Perishop。

　　● LDAP服務器：網景;IIS;Domino;OpenLDAP。

　　● 負載平衡服務器：思科CSS，Alteon，F(xiàn)5 BIG IP;IBMNetwork Dispatcher;英特爾路由器;Administrable。

　　● 交換機和集線器：思科; 3Com;北電網絡;Cabletron;朗訊;阿爾卡特。

　　● 無線接入點：思科;3Com公司;Symbol;Linksys;D-Link;Netgear;Avaya;Apple Airport;諾基亞;西門子。

　　識別漏洞名單

　　選擇的漏洞管理解決方案需要提供掃描和修復廣泛類別漏洞的能力，包括：

　　● 后門和木馬(旁路認證系統(tǒng))。

　　● 蠻力攻擊(通過系統(tǒng)地嘗試不同的密鑰違抗加密)。

　　● CGI(利用通用網關接口)。

　　● 數(shù)據(jù)庫。

　　● DNS和綁定(利用域名服務)。

　　● 電子商務應用。

　　● 文件共享。

　　● 文件傳輸協(xié)議。

　　● 防火墻。

　　● 常規(guī)遠程服務。

　　● 硬件和網絡設備。

　　● 信息/目錄服務。

　　● SMB / Netbios視窗(利用應用層協(xié)議共享網絡服務)。

　　● SMTP和電子郵件應用。

　　● SNMP(利用簡單網絡管理協(xié)議)。

　　● TCP/ IP(利用傳輸控制協(xié)議和因特網協(xié)議)。

　　● VoIP(利用Voice-over-IP協(xié)議)。

　　● Web服務器。

　　● 無線接入點。

　　● X-Windows(利用顯示協(xié)議)。