漏洞管理三：考慮你選擇的漏洞管理

　　漏洞管理三：考慮你選擇的漏洞管理

　　符合政府的安全法律法規(guī)要求，防止黑客利用網(wǎng)絡(luò)弱點集中和針對性攻擊，企業(yè)的漏洞管理(VM)過程是至關(guān)重要的。

　　漏洞管理的步驟是基本的，還有就是用戶實施的方式要滿足運營的需求。這部分提供了選擇和實施漏洞管理方案的初步想法。

　　為消除網(wǎng)絡(luò)漏洞選擇最佳路徑

　　企業(yè)實施什么樣的漏洞管理方案，將直接影響企業(yè)網(wǎng)絡(luò)安全和整體合規(guī)的實際狀態(tài)。

　　當(dāng)企業(yè)權(quán)衡漏洞管理每一步選項時，請考慮以下提示：

　　● 盡可能多的采用自動化。漏洞管理的許多步驟是重復(fù)的，應(yīng)用到企業(yè)中的所有連網(wǎng)設(shè)備。手工進(jìn)行這些工作會耗費巨大的時間和資源。法規(guī)可能要求企業(yè)把漏洞管理擴(kuò)展到供應(yīng)商、業(yè)務(wù)合作伙伴和渠道代理。沒有辦法，企業(yè)要有足夠的預(yù)算和人員，完成所有這些步驟。自動化是必須的–不僅為負(fù)擔(dān)能力和規(guī)模效益，還要確保漏洞管理在一個快速的、系統(tǒng)的和全面的方式進(jìn)行。這是機(jī)器比人要好的情況之一!

　　● 使用牢靠、安全的技術(shù)。進(jìn)行漏洞管理，我們能保護(hù)企業(yè)的網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)的安全。不要吝嗇完成這項工作所需的技術(shù)。并要特別注意實現(xiàn)實驗和未經(jīng)證實方案到用戶的漏洞管理系統(tǒng)。當(dāng)涉及到企業(yè)網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)時，安全比遺憾要好。堅持使用在用戶社區(qū)中有堅實業(yè)績和廣泛使用的漏洞管理技術(shù)。

　　● 選擇能與業(yè)務(wù)一起增長的方案。變化是企業(yè)唯一不變的內(nèi)容，所以檢查提交漏洞管理方案的能力能否跟上企業(yè)的發(fā)展，變得越發(fā)復(fù)雜和苛刻。一方面是確保幾臺機(jī)器或一個小部門安全;另一方面是與多個部門、分部門、業(yè)務(wù)單元和合作伙伴–在國內(nèi)和全球協(xié)調(diào)漏洞管理。

　　下面看看幾個實施漏洞管理解決方案的選項。

　　選項：聘請顧問

　　顧問是一種很好的資源，由專家?guī)椭髽I(yè)保護(hù)網(wǎng)絡(luò)和識別弱點。

　　然而，在漏洞管理和簡單識別問題或證明哪里有弱點之間有很大的區(qū)別。很多顧問執(zhí)行稱為“滲透測試”的工作，這意味著他們試圖找到漏洞并破解用戶的網(wǎng)絡(luò)。每年幾次的全面滲透測試可能花費十幾甚至幾十萬美元。滲透測試在單一時間點捕獲更深的漏洞信息。這個測試結(jié)果對監(jiān)管合規(guī)的具體要求已經(jīng)足夠了-- 但提供持續(xù)、可靠的安全性是另一回事。

　　滲透測試的保質(zhì)期是短暫的：

　　● 結(jié)果僅在環(huán)境不變化，或沒有新威脅出現(xiàn)時是有效的–但現(xiàn)實是每天都在變化!

　　● 結(jié)果的最好情況是幾個小時。在典型的企業(yè)，管理人員每天都要重新配置網(wǎng)絡(luò)和設(shè)備。此外，每天都會發(fā)現(xiàn)新漏洞，單一時間點滲透測試很快就會過時。如果企業(yè)想用漏洞管理幫助加強(qiáng)安全性，更適合每天做一次掃描。

　　● 由于滲透測試外包給人工處理，定期評估很快變得過于昂貴。

　　當(dāng)企業(yè)使用一種自動的解決方案，漏洞管理相對比較容易，所以企業(yè)應(yīng)該尋找更多資源解決發(fā)現(xiàn)的問題。漏洞修復(fù)往往是耗時的，因此顧問可以在復(fù)雜的任務(wù)中幫助企業(yè)，提供巨大的價值。

　　選項：自己運行軟件

　　基于軟件的解決方案，使企業(yè)能夠在內(nèi)部網(wǎng)絡(luò)上安裝漏洞管理軟件，并由企業(yè)自己運行它們。軟件可以自動完成許多漏洞管理的過程。

　　然而，有對漏洞管理軟件的控制同時攜帶了管理它(和保護(hù)它)的價格標(biāo)簽。用戶必須很好地運行和維護(hù)一切–完成通常IT和安全人員日常清單中所做的一切。

　　運行和維護(hù)漏洞管理軟件的任務(wù)包括：

　　● 購買、維護(hù)服務(wù)器與基礎(chǔ)設(shè)施，可靠地運行漏洞管理軟件應(yīng)用;

　　● 確保漏洞管理應(yīng)用和基礎(chǔ)設(shè)施總是100%的安全，并以最高的效率運行;

　　● 在集成的漏洞管理方案中，完成組件軟件之間所需的數(shù)據(jù)交換;

　　● 維持軟件使用最新版本和更新補(bǔ)丁程序;

　　● 而且，系統(tǒng)能夠響應(yīng)報警，并管理發(fā)現(xiàn)的漏洞。

　　自己動手做(DIY)有兩種選擇。用戶可以下載開源軟件或購買商業(yè)解決方案。

　　開源軟件：免費但不便宜

　　開源軟件通常是在一種開放、合作的方式中開發(fā)。該軟件通常是免費的，用戶能夠使用、變更、改進(jìn)或分享。然而，把開源軟件用于漏洞管理需要考慮以下三方面的問題：

　　● 可疑代碼。開放源代碼是由公眾開發(fā)的，不能保證它的質(zhì)量與商業(yè)軟件的質(zhì)量一樣。有信譽(yù)的供應(yīng)商遵循軟件代碼保證和安全行業(yè)標(biāo)準(zhǔn)流程，并由獨立的測試和驗證制度，如聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)或通用標(biāo)準(zhǔn)，對提交代碼進(jìn)行審查。

　　當(dāng)應(yīng)用部署到企業(yè)生產(chǎn)環(huán)境后，實施非測試開源代碼的應(yīng)用軟件會帶來不牢靠的風(fēng)險。還有，通過未測試模塊會有不經(jīng)意間把漏洞集成到漏洞管理系統(tǒng)的風(fēng)險。事實上，模塊(或漏洞檢查)的許多實例造成了誤報和漏報的結(jié)果。一些檢查甚至禁用了系統(tǒng)。如果企業(yè)使用開源漏洞管理方案，用戶要自己處理風(fēng)險!

　　● 開源軟件可能是免費的，但它并不便宜。開源軟件具有與商業(yè)軟件相同的運行成本。準(zhǔn)備支付設(shè)備空間、機(jī)柜和空調(diào)、系統(tǒng)管理、部署和配置、維護(hù)和修補(bǔ)(補(bǔ)丁從社區(qū)開發(fā)者是否到達(dá)與何時到達(dá))、備份和恢復(fù)、冗余、故障切換和不間斷電源、審計日志、漏洞管理應(yīng)用安全和維護(hù)條款、容量規(guī)劃和事件監(jiān)視。這樣的例子不勝枚舉!

　　● 培訓(xùn)和支持不足。負(fù)責(zé)安全的員工必須具有操作漏洞管理工具的能力–如何快速消滅在網(wǎng)絡(luò)上發(fā)現(xiàn)的漏洞。使用開源軟件，在互聯(lián)網(wǎng)上很少有打包的培訓(xùn)和與開源論壇捆綁的支持信息。雖然許多專家分享他們的技巧，這有助于知道誰開發(fā)的軟件，這往往是唯一的信息來源-- 尤其是開源模塊或插件。當(dāng)企業(yè)依靠開源軟件進(jìn)行漏洞管理，處理技術(shù)方面的工作是必不可少的。

　　商業(yè)軟件：不便宜但有維護(hù)

　　用戶自己運行漏洞管理軟件的另一種選擇是使用商業(yè)軟件。大多數(shù)人都不由自主地想到商業(yè)軟件是一種“安全”選項，它通常由一大堆安裝的應(yīng)用構(gòu)成。但商業(yè)軟件也有缺點，所以要考慮以下幾個問題：

　　● 商業(yè)軟件使用的是真金白銀。用戶必須購買，這需要預(yù)算、流程和文件準(zhǔn)備工作，說服老板簽署采購訂單。

　　● 用戶必須每年支付繼續(xù)使用商業(yè)軟件的授權(quán)。從技術(shù)上講，購買者實際上并不擁有任何東西，除了許可證授予他們“權(quán)利”使用該軟件。

　　● 維護(hù)帶來更高的保證。商業(yè)企業(yè)開發(fā)的漏洞管理軟件具有行業(yè)標(biāo)準(zhǔn)的軟件保證和安全性。用戶可以問問供應(yīng)商他們是如何做到這一點的。在另一方面，事實上任何軟件都有錯誤，所以用戶必須定期和快速安裝更新程序和新補(bǔ)丁。找出該流程是如何工作的，以及如何用企業(yè)的內(nèi)部流程更新和修補(bǔ)。了解供應(yīng)商的培訓(xùn)和支持計劃，確保企業(yè)的安全人員能夠部署和使用該方案。

　　● 商業(yè)軟件的成本與運行開源解決方案相同。準(zhǔn)備支付與開源同樣長長名單中的內(nèi)容。

　　選項??：使用軟件即服務(wù)(SaaS)

　　軟件即服務(wù)是一種應(yīng)用的交付模式，為企業(yè)提供了一種使用軟件應(yīng)用的低成本方式。使用SaaS，第三方開發(fā)者在一個安全的互聯(lián)網(wǎng)Web服務(wù)器上運行他們應(yīng)用，用戶用Web瀏覽器按需進(jìn)行操作和控制。用戶支付定期的訂閱費節(jié)省了費用，而不是支付軟件、定期更新和持續(xù)維護(hù)的費用。

　　SaaS交付的不同應(yīng)用包括了客戶關(guān)系管理、辦公效率、人力資源、視頻會議和會計等模塊。 SaaS提供商處理應(yīng)用背后基礎(chǔ)設(shè)施的所有技術(shù)“重任”–用戶可以立刻使用它，而不需要特殊技術(shù)專長或部署和使用它的培訓(xùn)。也不需要什么大師了!

　　Qualys是第一家通過SaaS提供漏洞管理的公司，是基于Web服務(wù)按需提供安全服務(wù)的全球領(lǐng)導(dǎo)者。該公司的QualysGuard漏洞管理和政策合規(guī)平臺，每年為全球數(shù)以千計的客戶執(zhí)行超過1.5億次的IP審計。

　　SaaS與傳統(tǒng)軟件進(jìn)行漏洞管理的比較

　　企業(yè)可以通過多種方式部署漏洞管理。有的做一些基于軟件漏洞管理產(chǎn)品的購買、部署和管理等事情。有的聘請顧問做滲透測試，使用基于軟件的產(chǎn)品自行運行。越來越多的企業(yè)轉(zhuǎn)向一種成熟的選擇：按需使用SaaS做漏洞管理。

　　當(dāng)用戶選擇了一種漏洞管理方案，衡量它的利弊得失是有幫助的，這里有四個關(guān)鍵因素：設(shè)計、部署、管理與合規(guī)。每個內(nèi)容都決定了漏洞管理是否能成功部署。

　　設(shè)計：自外而內(nèi)評估風(fēng)險

　　基于軟件的方案，由用戶在他們企業(yè)網(wǎng)絡(luò)上手動進(jìn)行安裝。這是一個熟悉的過程，但使用基于軟件的漏洞管理方案擁有巨大的缺點：

　　● 基于軟件的方案不提供對網(wǎng)絡(luò)漏洞的局外人觀點，尤其對周邊設(shè)備。

　　● 安裝選項位于網(wǎng)絡(luò)的非路由私有側(cè)或面向公眾的因特網(wǎng)側(cè)。防火墻背后的部署無法處理攻擊，如格式不正確數(shù)據(jù)包的傳送，因此掃描會產(chǎn)生許多誤報和漏報。在防火墻外部署產(chǎn)品容易受到攻擊和危害。掃描評估安全通信是有問題的。

　　使用SaaS，應(yīng)用由一個可信的第三方安裝和運行，并可在用戶??網(wǎng)絡(luò)上或安全外部設(shè)施上托管。后者選項使SaaS漏洞管理方案能模仿黑客的視角來看待網(wǎng)絡(luò)的審計過程-- 從外面往里看，外部托管的SaaS漏洞管理方案還可以評估防火墻內(nèi)的安全，使用“增強(qiáng)型設(shè)備”(它包含集成的安全保護(hù))，可以把內(nèi)部審核結(jié)果傳送到中央安全存儲庫，該存儲庫由可信第三方托管和管理。

　　部署：保持運營負(fù)擔(dān)降到最低

　　當(dāng)用戶部署基于軟件的方案時，他們需要提供服務(wù)器來運行該漏洞管理應(yīng)用。對大型企業(yè)來說，這可能需要把服務(wù)器放在世界范圍的多個數(shù)據(jù)中心，因此，為網(wǎng)絡(luò)和安全人員建立所需的基礎(chǔ)設(shè)施，部署會消耗大量的時間。即使可能，這些資源與企業(yè)管理平臺的整合往往也具有很大挑戰(zhàn)。

　　SaaS方案有許多運營優(yōu)勢：

　　● SaaS已經(jīng)在“啟動和運行”狀態(tài)，所以部署是即時的，無論多少站點需要漏洞管理，也不管他們在世界上何處;

　　● 不會有軟件代理安裝，與其他應(yīng)用沖突;

　　● SaaS具有天然的擴(kuò)展性，在大企業(yè)中可以立即開始工作;

　　● 該方案應(yīng)該提供一個應(yīng)用程序接口(API)，可實現(xiàn)與企業(yè)網(wǎng)絡(luò)管理平臺的簡單整合。

　　圖3-1顯示了人們采用SaaS的主要原因。

　　圖3-1：人們?yōu)槭裁床捎肧aaS。

　　管理：高效低成本的方案

　　基于軟件的方案需要大量的漏洞管理費用。在大規(guī)模的部署中，掃描結(jié)果分散在多個網(wǎng)段和設(shè)備中，所以整理漏洞的企業(yè)級視圖是一個漫長的手工過程。軟件更新和補(bǔ)丁必須應(yīng)用到每個分散節(jié)點，這也需要硬件維護(hù)和備份。此外，節(jié)點托管的軟件很容易受到攻擊。

　　使用SaaS的漏洞管理消除了所有這些問題：

　　● 安全的SaaS托管意味著為整個企業(yè)的更新是自動和即時的。

　　● 企業(yè)范圍的漏洞數(shù)據(jù)整理是自動的。

　　● 使用SaaS的整體擁有成本(TCO)是較低的，因為消除了人工部署、管理和報告。

　　合規(guī)：為各種政策法規(guī)提供審計和報告

　　證明基于軟件方案的合規(guī)是困難的。除了手動整理報告，該數(shù)據(jù)由用戶“擁有”，并由外部的審計人員審查。相比之下，全自動的SaaS漏洞報告已得到審計人員的信任，因為它由安全的第三方收集和擁有。SaaS通過強(qiáng)制執(zhí)行訪問漏洞管理功能和報告在企業(yè)中基于用戶的操作角色，提供了防篡改能力。這種基于角色的能力進(jìn)一步保障了漏洞管理結(jié)果驗證合規(guī)的完整性。