漏洞管理四：按需進(jìn)行漏洞管理

　　有的漏洞管理軟件提供了隨需而用的漏洞管理方案。這對網(wǎng)絡(luò)安全與合規(guī)管理是極其重要的。面對網(wǎng)絡(luò)惡意入侵的趨勢，催生了很多創(chuàng)新的網(wǎng)絡(luò)安全解決方案。幾乎所有的業(yè)內(nèi)分析都認(rèn)為：網(wǎng)絡(luò)安全應(yīng)該是一個多種、多層防護(hù)的產(chǎn)品–包括病毒檢測、防火墻和漏洞管理。多數(shù)分析師也認(rèn)為：漏洞管理是一種關(guān)鍵干預(yù)，沒有它病毒檢測和防火墻可能只是一種安全錯覺。

　　探索按需的漏洞管理

　　按需軟件即服務(wù)(SaaS)的漏洞管理涉及一家值得信賴的第三方，而不是基于軟件獲取、安裝、支持和維護(hù)的方案。有些軟件可以是隨需而用、基于服務(wù)的漏洞管理方案。

　　業(yè)內(nèi)專家定義的漏洞管理包括下列條件。

　　漏洞管理應(yīng)該：

　　● 能夠識別外圍和內(nèi)部的弱點;

　　● 用不斷更新的數(shù)據(jù)庫自動掃描已知的攻擊;

　　● 是高度精確的，可從根本上消除誤報和漏報–并且是非侵入性的。

　　● 使用基于推理的掃描，確保每次掃描僅檢測有威脅的漏洞;

　　● 生成簡潔、可操作、可定制的報告，包括有嚴(yán)重程度和趨勢分析的漏洞排序;

　　● 對現(xiàn)在沒有補(bǔ)救辦法的情況，提供已測試的補(bǔ)救措施和工作辦法;

　　● 提供具有綜合報告和集中管理的分布式掃描功能;

　　● 提供可信(基于證書)和基于簡單密碼授權(quán)技術(shù)的掃描;

　　● 提供用戶訪問管理，按在企業(yè)和網(wǎng)絡(luò)中的責(zé)任，限制用戶角色和權(quán)限的功能;

　　● 按排序和跟蹤修復(fù)工作提供工作流程的能力;

　　● 啟用客戶可定制的合規(guī)報告;

　　● 無縫集成客戶的安全信息管理(SIM)、入侵檢測系統(tǒng)(IDS)、補(bǔ)丁管理和幫助桌面系統(tǒng)。

　　還有很多的要求，但漏洞管理軟件必須滿足每個人能用SaaS架構(gòu)及易用的用戶界面。

　　訪問漏洞管理軟件

　　用戶訪問漏洞管理軟件，只需通過瀏覽器登錄。通過授權(quán)，訪問基于Web服務(wù)的交付架構(gòu)，用戶可以立即使用該服務(wù)，審計企業(yè)外部和內(nèi)部網(wǎng)絡(luò)的安全性。漏洞管理服務(wù)是全天候、面向全球所有的訂閱用戶而進(jìn)行的。

　　使用漏洞管理軟件，用戶可以安排掃描自動進(jìn)行，包括選擇掃描目標(biāo)、開始時間、持續(xù)時間和服務(wù)頻率。

　　漏洞管理軟件的特性提供了廣泛查找和消除網(wǎng)絡(luò)安全漏洞的功能。包括：

　　● 發(fā)現(xiàn)連接到企業(yè)網(wǎng)絡(luò)的所有系統(tǒng);

　　● 識別并分析所有已發(fā)現(xiàn)系統(tǒng)的漏洞;

　　● 發(fā)現(xiàn)結(jié)果和漏洞分析報告;

　　● 引導(dǎo)漏洞修復(fù)過程;

　　● 確認(rèn)已實施修復(fù)工作;

　　● 提供文檔驗證安全合規(guī)。

　　漏洞管理軟件架構(gòu)(見圖4-1)的元素包括知識庫、安全運(yùn)營中心、因特網(wǎng)掃描器、掃描器設(shè)備，以及安全瀏覽器界面，關(guān)于瀏覽器界面我們會在下面的部分解釋。

　　知識庫

　　漏洞管理軟件的核心是它的知識庫。知識庫包含了智能，增強(qiáng)了漏洞管理服務(wù)的能力。它每天都更新新漏洞特征、驗證的補(bǔ)丁、改正的誤報和其他數(shù)據(jù)，不斷地改進(jìn)其有效性。

　　安全運(yùn)營中心

　　知識庫常駐于安全運(yùn)營中心(SOC)內(nèi)，安全運(yùn)營中心提供了對漏洞數(shù)據(jù)的安全存儲和處理，使用負(fù)載均衡應(yīng)用服務(wù)器的n層架構(gòu)。這種計算機(jī)結(jié)構(gòu)只需通過添加更多的服務(wù)器就能擴(kuò)大處理能力，以滿足客戶的需求。所有計算機(jī)和機(jī)架設(shè)備與其他系統(tǒng)是隔離的。

　　圖4-1：QualysGuard的SaaS架構(gòu)。

　　因特網(wǎng)掃描器

　　因特網(wǎng)掃描器為客戶執(zhí)行周邊掃描。這些遠(yuǎn)程掃描器由經(jīng)歷審計每臺機(jī)器發(fā)現(xiàn)協(xié)議建立的清單開始。在發(fā)現(xiàn)這些協(xié)議后，掃描儀檢測哪個端口連接到服務(wù)，諸如Web服務(wù)器、數(shù)據(jù)庫和電子郵件服務(wù)器。在這個點，掃描器啟動基于推理的漏洞評估，基于可能確實存在(和操作系統(tǒng)和配置相關(guān))的漏洞，快速識別真的漏洞，并最小化誤報。

　　掃描儀設(shè)備

　　掃描儀設(shè)備由客戶來安裝，設(shè)置映射域并掃描防火墻后面的IP設(shè)備。這是一種外掛設(shè)備，可在幾分鐘內(nèi)完成安裝，收集防火墻內(nèi)部的安全審計數(shù)據(jù)，并安全地提供給安全運(yùn)營中心。這些設(shè)備使用強(qiáng)化的操作系統(tǒng)內(nèi)核，可防止任何襲擊。此外，它們不包含任何暴露于網(wǎng)絡(luò)中的服務(wù)或后臺程序(后臺軟件進(jìn)程)。這些設(shè)備輪詢安全運(yùn)營中心(SOC)，傳送軟件更新和新漏洞特征，并處理請求的作業(yè)。

　　安全Web界面

　　用戶通過安全Web界面進(jìn)行交互。任何標(biāo)準(zhǔn)的Web瀏覽器都可瀏覽門戶界面，用戶可以啟動掃描、檢查審計報告和管理賬戶。通信使用安全超文本傳輸協(xié)議HTTPS(使用安全套接字層第3版SSLv3)加密確保安全。所有漏洞信息以及報告數(shù)據(jù)，用唯一的用戶密鑰進(jìn)行加密，全部信息的保密性，并使沒有授權(quán)的客戶無法讀取。

　　排序修復(fù)指南，加快員工跟進(jìn)

　　漏洞管理軟件提供了類似于由支持呼叫中心創(chuàng)建故障修復(fù)工單的能力。作為安全管理人員，用戶可以控制這些工單的優(yōu)先級，并自動分配修復(fù)它們的負(fù)責(zé)人。在創(chuàng)建工單后，隨后的掃描要跟蹤所有的修復(fù)變化。這些流程的自動化可以大大加快漏洞的修復(fù)。

　　使用掃描引擎可以讓報告自動識別和排序漏洞，分配成五個級別，且定義了每個漏洞修補(bǔ)的緊迫性。排序按照各種行業(yè)標(biāo)準(zhǔn)，如通用漏洞披露(CVE)和國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)的標(biāo)準(zhǔn)。這些級別是：

　　● 1級(最低)：可收集的信息;

　　● 2級(中等)：可收集的敏感信息，如運(yùn)行在目標(biāo)機(jī)器上的軟件精確版本和發(fā)行號;

　　● 3級(重要)：可探測的威脅指標(biāo)，如目錄瀏覽、拒絕服務(wù)，或文件的部分讀取。

　　● 4級(嚴(yán)重)：發(fā)現(xiàn)紅色標(biāo)志指標(biāo)，如在目標(biāo)計算機(jī)上存在：文件被盜、潛在后門，或可讀的用戶列表。

　　● 5級(緊急)：檢測到后門軟件，或讀寫訪問文件、遠(yuǎn)程執(zhí)行，或存在其他活動。

　　每個漏洞的詳細(xì)信息都在報告中顯示，如圖4-2所示。

　　圖4-2：漏洞報告。

　　該軟件還提供了一個執(zhí)行報告，總結(jié)了修復(fù)所有漏洞的狀態(tài)。

　　自動生成合規(guī)文件

　　不同區(qū)域的方案是不同的，因此，漏洞管理需要靈活、全面和智能的報告功能。多數(shù)方案生成的是死板的報告，只反映一對一的情況，不能對收集的數(shù)據(jù)進(jìn)行處理。很少，如果有的話，只有過濾、重組或把數(shù)據(jù)合成為更高級信息抽象等機(jī)制。然而，QualysGuard報告有如優(yōu)質(zhì)的商業(yè)智能報告–具有篩選和排序，使用戶可以按照自己想要的任何方式來觀看數(shù)據(jù)。

　　智能報告的組成部分是：

　　● 網(wǎng)絡(luò)資產(chǎn)(IP和/或資產(chǎn)組)包括在報告中;

　　● 圖形和圖表呈現(xiàn)全面的概覽和網(wǎng)絡(luò)安全狀態(tài);

　　● 為給定網(wǎng)絡(luò)進(jìn)行趨勢分析;

　　● 有詳細(xì)特性的漏洞數(shù)據(jù);

　　● 過濾和排序選項，提供多種靈活的方式來觀看網(wǎng)絡(luò)的數(shù)據(jù)。

　　儀表板提供了網(wǎng)絡(luò)整體安全位置瞬間一頁的快照，如圖4-3所示。

　　圖4-3：儀表板。

　　儀表板是一個門戶網(wǎng)站，描述漏洞管理流程每個方面更詳細(xì)的報告。該門戶提供了一系列報告模板，自動呈現(xiàn)漏洞管理數(shù)據(jù)和綜合信息，漏洞修復(fù)的IT組織通常需要這些信息。用戶可以輕松地自定義模板，顯示專門的報告、格式(如HTML，XML，PDF)，并發(fā)送給相關(guān)的工作人員、管理人員和審計人員。

　　例如，定制模板自動生成報表：

　　● 存在最嚴(yán)重高級別的未修復(fù)漏洞;

　　● 網(wǎng)絡(luò)上發(fā)現(xiàn)了非法設(shè)備;

　　● 技術(shù)符合特定的法規(guī)，如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)，健康保險流通與責(zé)任法案(HIPAA)，格雷姆-- 里奇-- 比利雷，或薩班斯-- 奧克斯利法案;

　　● 特定部門或業(yè)務(wù)流程故障工單的狀態(tài)，如財務(wù)報告系統(tǒng)或訂單處理系統(tǒng);

　　● 為網(wǎng)絡(luò)安全人員的工作績效評估使用的趨勢分析。

　　保持低成本

　　軟件自動化比起手動執(zhí)行漏洞管理，為小企業(yè)和大型跨國公司節(jié)省了大量時間，具有很好的性價比。軟件的安全架構(gòu)要每日更新，執(zhí)行新漏洞審計;季度更新，實現(xiàn)產(chǎn)品的新功能。所有更新都能無縫連接用戶。經(jīng)營成本由供應(yīng)商承擔(dān)，并在一個大用戶群中分發(fā)。這讓用戶從立即部署漏洞管理的能力中受益，比使用內(nèi)部的、基于軟件方案的成本要低得多。

　　按需審計與昂貴的滲透測試

　　正如第三部分的描述，滲透測試是一個術(shù)語，由外部顧問進(jìn)行網(wǎng)絡(luò)安全審計，包括模擬惡意用戶的攻擊。從基本上說，就是“攻擊者”試圖找出漏洞，并利用它們。

　　雖然滲透測試在單個時間點上捕獲了一些漏洞信息，但保質(zhì)期是短暫的，結(jié)果只在環(huán)境不變化，或沒有新威脅出現(xiàn)時是有效的。總之，滲透測試總是不全面的，有效期僅為幾個小時。隨著網(wǎng)絡(luò)管理員經(jīng)常重新配置網(wǎng)絡(luò)和設(shè)備，漏洞以每周25個以上的速度出現(xiàn)，網(wǎng)絡(luò)安全需要頻繁、持續(xù)的評估。

　　按需安全審計是補(bǔ)充或替代滲透測試的理想方式。這種方式為用戶提供了無限的評估–即使每天都需要–也僅為滲透測試的很小一部分成本。還自動包含了定制報告和趨勢分析，這樣用戶可以隨時衡量自己的安全改進(jìn)。

　　計算用戶的收益

　　漏洞管理軟件應(yīng)該在不同的規(guī)模和不同的網(wǎng)絡(luò)上有效運(yùn)行。它應(yīng)是可擴(kuò)展、性價比高的Web服務(wù)，能在防火墻的內(nèi)部和外部提供主動的按需安全審計。

　　漏洞管理軟件應(yīng)能夠完全控制安全審計和漏洞管理流程，包括：

　　● 易于部署的SaaS架構(gòu);

　　● 無論企業(yè)的網(wǎng)絡(luò)有多大，都有輕松管理漏洞的能力;

　　● 全自動化方案，消除了傳統(tǒng)的勞動密集型操作，節(jié)省時間和簡化大規(guī)模的漏洞管理;

　　● 網(wǎng)絡(luò)資產(chǎn)的快速識別和可視化;

　　● 精確的漏洞檢測，消除了費時的驗證結(jié)果和整合數(shù)據(jù)的手工工作;

　　● 授權(quán)用戶可在全球任何地方訪問漏洞管理服務(wù)。

　　漏洞管理的免費試用與四步計劃

　　現(xiàn)在，讀者已經(jīng)熟悉了漏洞管理的基本知識，到可以做真事的時候了。讀者可以免費進(jìn)行兩周的實驗。需要用的僅是瀏覽器。請到并開始!

　　注冊后，讀者會收到一封電子郵件，安全鏈接到讀者的用戶名、密碼和初始登錄URL。檢查了條款和條件后，讀者會看到一個歡迎屏幕，就像圖4-4所示。

　　圖4-4：QualysGuard的歡迎屏幕。

　　歡迎窗口將引導(dǎo)讀者完成必要的漏洞管理步驟，審核讀者的外部網(wǎng)絡(luò)(周長)。為了使用QualysGuard，讀者需要進(jìn)行一個簡單的設(shè)置。在第一次通過后，保持它的簡單，并輸入讀者的網(wǎng)絡(luò)頂級域ID。之后，讀者可以嘗試域、資產(chǎn)組，以及相關(guān)業(yè)務(wù)單元，體驗QualysGuard的全部功能。

　　第1步：映射網(wǎng)絡(luò)

　　當(dāng)讀者設(shè)置了QualysGuard后，到稱為映射的部分，單擊“啟動映射”并應(yīng)用!這時會自動分析讀者的網(wǎng)絡(luò)并生成數(shù)據(jù)，包含了讀者設(shè)置的IP地址或IP范圍內(nèi)的所有連接設(shè)備。

　　第2步：掃描網(wǎng)絡(luò)

　　創(chuàng)建映射后，讀者可以掃描整個網(wǎng)絡(luò)的所有??設(shè)備或這些設(shè)備的指定子集。為了做這件事，到稱為掃描的部分，點擊“開始掃描”，并開始做!

　　第3步：讀掃描報告

　　報告是QualysGuard的關(guān)鍵交付--并且是行業(yè)中最好和最全面的。為了能自動生成報告，到稱為報告的部分。首先告訴QualysGuard讀者想要什么樣的掃描和映射報告。接下來，單擊“運(yùn)行報告”。就可以了。

　　步驟4：修補(bǔ)風(fēng)險

　　這是讀者工作開始的地方，因為讀者需要修復(fù)檢測到的問題。不要擔(dān)心，QualysGuard可以指導(dǎo)讀者完成修復(fù)過程。QualysGuard能告訴讀者有關(guān)的漏洞，還能提供鏈接到修復(fù)補(bǔ)丁和修復(fù)方法。根據(jù)業(yè)務(wù)的優(yōu)先級和嚴(yán)重程度，它會告訴讀者先解決什么問題。然后，通過重新掃描，QualysGuard可以驗證這些漏洞都得到了妥善修復(fù)。

　　定期地使用QualysGuard可以確保用戶的網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)最大限度的安全。當(dāng)讀者熟悉了QualysGuard易于使用的界面，讀者可能想要探索生成各種報告，并試圖開發(fā)QualysGuard更全面的功能。

　　恭喜!讀者現(xiàn)在就可以享受漏洞管理帶來的數(shù)據(jù)安全、保護(hù)網(wǎng)絡(luò)的巨大收益!