漏洞管理一：了解漏洞管理的需求

　　對(duì)于網(wǎng)絡(luò)罪犯，網(wǎng)絡(luò)上的漏洞是一種隱藏、高價(jià)值的資產(chǎn)。當(dāng)被公開時(shí)，這些漏洞可被針對(duì)性地利用，可能會(huì)導(dǎo)致非授權(quán)侵入，暴露機(jī)密信息，為竊取身份、盜竊商業(yè)秘密、違反隱私法律法規(guī)或癱瘓業(yè)務(wù)運(yùn)營提供燃料。

　　由于軟件缺陷、應(yīng)用和IT設(shè)備的錯(cuò)誤配置，以及常規(guī)的錯(cuò)誤，每天都會(huì)有新的漏洞出現(xiàn)。無論起源來自哪里，漏洞不會(huì)自己消失。因此，對(duì)他們的檢測(cè)、清除和控制要求進(jìn)行漏洞管理。漏洞管理意味著對(duì)漏洞進(jìn)行管制，連續(xù)地使用專用安全工具和工作流程，積極幫助用戶消除被利用的風(fēng)險(xiǎn)。

　　誰有危險(xiǎn)?

　　每個(gè)企業(yè)都要面臨維持一個(gè)安全、開放和互聯(lián)網(wǎng)絡(luò)的挑戰(zhàn)--易于與遍及世界各地的客戶、供應(yīng)商和業(yè)務(wù)合作伙伴交換信息。

　　不幸的是，使這些信息即可用又安全是一件非常困難的工作。蠕蟲、病毒和其他安全問題會(huì)不斷形成信息被盜和業(yè)務(wù)中斷的威脅。更多的，每天出現(xiàn)新漏洞和新威脅的速度在急劇增加--這使挑戰(zhàn)變得更加嚴(yán)峻。

　　由于漏洞的出現(xiàn)，與互聯(lián)網(wǎng)連接的每項(xiàng)業(yè)務(wù)都存在風(fēng)險(xiǎn)。無論是中小企業(yè)，還是跨國公司或是政府機(jī)構(gòu)–基本沒有什么區(qū)別，都處于危險(xiǎn)之中。

　　解決的方案是通過消除他們的起源，減小網(wǎng)絡(luò)漏洞對(duì)網(wǎng)絡(luò)的安全威脅。

　　漏洞如何使網(wǎng)絡(luò)處于危險(xiǎn)

　　早在計(jì)算機(jī)的初期，漏洞就一直困擾著操作系統(tǒng)和應(yīng)用軟件。他們?cè)?jīng)是罕見的，但現(xiàn)在通過互聯(lián)網(wǎng)，幾乎每天都能看到攻擊的案例。這一全球性途徑為黑客和犯罪分子提供了方便的連接，使他們能容易地訪問用戶的網(wǎng)絡(luò)和計(jì)算資源。當(dāng)用戶的網(wǎng)絡(luò)連接設(shè)備沒有安全更新時(shí)，這些未打補(bǔ)丁的設(shè)備很容易受到各種漏洞攻擊。如果這些漏洞不能確認(rèn)并修復(fù)，各種業(yè)務(wù)都會(huì)受到影響。

　　漏洞從哪里來?

　　編程錯(cuò)誤導(dǎo)致了軟件中大多數(shù)的漏洞。一種常見的??錯(cuò)誤是未能檢查數(shù)據(jù)緩沖區(qū)的大小-- 一種記憶儲(chǔ)存箱，一臺(tái)計(jì)算機(jī)要在那里執(zhí)行相關(guān)功能。當(dāng)一個(gè)緩沖區(qū)溢出時(shí)，會(huì)導(dǎo)致把數(shù)據(jù)寫到相鄰的緩沖區(qū)。這會(huì)破壞堆?；騼?nèi)存堆區(qū)，這可能被病毒、蠕蟲或其他內(nèi)容所利用，允許攻擊者的代碼執(zhí)行。

　　計(jì)算機(jī)科學(xué)家估計(jì)，在每千行軟件代碼中大約會(huì)出現(xiàn)5?20個(gè)錯(cuò)誤(臭蟲)，所以看到定期公布的新漏洞與相關(guān)補(bǔ)丁和解決方法就不足為奇。漏洞的危險(xiǎn)與通用的軟件一起成長，特別是實(shí)施者插入了面向?qū)ο缶幊檀a的未測(cè)試模塊。當(dāng)代碼的質(zhì)量稍差、不好或僅為簡單錯(cuò)誤時(shí)，專家稱之為“非穩(wěn)健”狀態(tài)。放置在公共領(lǐng)域的代碼模塊可能包括了因特網(wǎng)協(xié)議標(biāo)準(zhǔn)非穩(wěn)健實(shí)現(xiàn)，在真實(shí)世界的網(wǎng)絡(luò)中使用時(shí)，這些模塊容易成為攻擊的目標(biāo)。

　　漏洞必須定期地確定并消除，因?yàn)槊刻於紩?huì)發(fā)現(xiàn)新漏洞。例如，微軟在每月的第二個(gè)星期二都會(huì)發(fā)布公告和補(bǔ)丁程序-- 通常被稱為“補(bǔ)丁星期二”。

　　粗心的程序員不是漏洞的唯一來源。例如，配置不當(dāng)?shù)陌踩珣?yīng)用，如防火墻;可能的攻擊者，如漏網(wǎng)之魚溜過應(yīng)關(guān)閉的端口;使用移動(dòng)設(shè)備的人員可以使用未授權(quán)或甚至是惡意軟件感染的網(wǎng)站，無需通過企業(yè)的虛擬專用網(wǎng)(VPN);也許認(rèn)為官方VPN是一種麻煩，人們想要瀏覽京東、易趣或是本地的在線個(gè)人廣告。

　　讓安全警衛(wèi)就這樣倒下，等于把設(shè)備和網(wǎng)絡(luò)暴露在攻擊之下。我們甚至在點(diǎn)擊受惡意件感染的電子郵件附件時(shí)就觸發(fā)了一次攻擊。

　　利用因特網(wǎng)的漏洞是一個(gè)巨大的問題，需要進(jìn)行主動(dòng)地控制和管理。這就是為什么企業(yè)需要使用漏洞管理-- 檢測(cè)和消除漏洞，降低整體安全危險(xiǎn)，防止機(jī)密泄露。

　　仔細(xì)查看攻擊的趨勢(shì)

　　在泄露消息中，揭示了全球數(shù)以百萬計(jì)的保密消費(fèi)記錄無情曝光。這足以說明了為什么企業(yè)必須要更多的保護(hù)網(wǎng)絡(luò)免受攻擊。但在安全威脅領(lǐng)域中，重大的變化是提高門檻，大型和小型企業(yè)都要積極盡量減少對(duì)漏洞的攻擊。

　　最近的數(shù)據(jù)顯示，利用漏洞不再僅限于普通病毒、蠕蟲、木馬和其它單矢量攻擊等傳統(tǒng)危險(xiǎn)。根據(jù)賽門鐵克公司進(jìn)行的全球調(diào)查，威脅已經(jīng)“離開了滋擾和破壞性攻擊，朝著獲取經(jīng)濟(jì)利益為目的”。該報(bào)告刻畫了五種新趨勢(shì)(有興趣請(qǐng)?jiān)陂喿x詳情)，包括：

　　● 惡意活動(dòng)的專業(yè)水平和商業(yè)化;

　　● 對(duì)特定地區(qū)越來越多的專門威脅;

　　● 多級(jí)攻擊的數(shù)量增加;

　　● 攻擊者首先利用可信實(shí)體瞄準(zhǔn)受害者;

　　● 攻擊方法的融合。

　　受訪者對(duì)計(jì)算機(jī)安全研究所的計(jì)算機(jī)犯罪和安全調(diào)查報(bào)告說，金融詐騙造成了最大的財(cái)務(wù)損失(占總數(shù)的31%)，比較于病毒/蠕蟲/間諜軟件(12%)，外人的系統(tǒng)滲透(10%)，或竊取機(jī)密數(shù)據(jù)(8%)。從12年系列計(jì)算機(jī)犯罪報(bào)告中(請(qǐng)見)，可了解更多信息。

　　網(wǎng)絡(luò)攻擊的后果會(huì)構(gòu)成了嚴(yán)重的金融風(fēng)險(xiǎn)，因此企業(yè)需要通過部署多層安全技術(shù)，如防病毒/反間諜軟件、防火墻、入侵檢測(cè)/防御、VPN和加密，阻止惡意件和其他攻擊。這樣的技術(shù)是網(wǎng)絡(luò)安全的必要組件，在企業(yè)的目的領(lǐng)域中非常有效，但還沒有進(jìn)行最基本的安全措施：漏洞管理。

　　檢測(cè)和刪除漏洞

　　漏洞管理已經(jīng)從運(yùn)行簡單的掃描器開始演變，對(duì)應(yīng)用、計(jì)算機(jī)或網(wǎng)絡(luò)來檢測(cè)常見弱點(diǎn)。掃描是漏洞管理的一個(gè)必要元件，但漏洞管理還包括其他技術(shù)和工作流程，為控制和消除漏洞貢獻(xiàn)了需要的大局觀。漏洞管理的主要目標(biāo)是：

　　● 識(shí)別并修復(fù)軟件的錯(cuò)誤，不影響安全、性能或功能;

　　● 改變功能或應(yīng)對(duì)新的安全威脅，如更新防病毒特征;

　　● 更改軟件配置，使其不易受攻擊，運(yùn)行更快或改進(jìn)功能;

　　● 使用最有效的手段阻止自動(dòng)攻擊(如蠕蟲，僵尸網(wǎng)絡(luò)等);

　　● 啟用對(duì)安全危險(xiǎn)的有效改進(jìn)和管理;

　　● 為審計(jì)和遵守法律、法規(guī)和業(yè)務(wù)策略記錄安全狀態(tài)。

　　如果僅用人工方式去做，一貫、持續(xù)的漏洞管理是很難的。企業(yè)應(yīng)使用及時(shí)和高性價(jià)比的方式采取行動(dòng)。對(duì)所有設(shè)備定期的重復(fù)工作要大量消耗時(shí)間–并低效使用IT和網(wǎng)絡(luò)人員的時(shí)間。為此，企業(yè)需要更多的自動(dòng)化和簡單化工作，實(shí)施到漏洞管理的每個(gè)元件，這些內(nèi)容我們將在第二部分討論。

　　組織起來實(shí)施漏洞管理

　　當(dāng)企業(yè)準(zhǔn)備實(shí)施漏洞管理時(shí)，一定要把安全放在最優(yōu)先的位置。這一步的時(shí)髦名詞是策略管理。策略管理決定了確保安全的控制要求，如為所有安全設(shè)備和應(yīng)用，包括防病毒、防火墻和入侵檢測(cè)/防御的標(biāo)準(zhǔn)配置。策略和控制應(yīng)包括服務(wù)器、網(wǎng)絡(luò)服務(wù)、應(yīng)用和端點(diǎn)。

　　策略管理過去采用的是手動(dòng)、繁瑣的過程。新軟件工具可以進(jìn)行自動(dòng)策略管理和執(zhí)行對(duì)端點(diǎn)設(shè)備的配置。自動(dòng)化節(jié)省了時(shí)間，提高了準(zhǔn)確度，并降低了擁有總成本。

　　遵從法規(guī)

　　漏洞管理可以自動(dòng)記錄是否遵從法規(guī)。漏洞管理的一個(gè)主要收益是漏洞管理軟件提供內(nèi)置的報(bào)告。其中一些報(bào)告可作為審計(jì)檢查合規(guī)的文件。

　　在金融交易、醫(yī)療健康和許多自動(dòng)化解決方案中的安全要求不斷增長。

　　為電子數(shù)據(jù)的保密性、完整性和可用性，防止信息安全漏洞，合法的網(wǎng)絡(luò)安全需求出現(xiàn)在越來越多的政府和行業(yè)的特定法規(guī)中。組織機(jī)構(gòu)不完全符合并遵循最新的安全法規(guī)，將面臨嚴(yán)重的潛在后果-- 包括罰款和民事(有時(shí)是犯罪)懲罰。第三部分將給你介紹更多關(guān)于漏洞管理和法規(guī)遵從。

　　讀者在本文中可了解很多關(guān)于漏洞管理的知識(shí)，但在腦海里要記住相關(guān)的法規(guī)遵從-- 尤其這涉及到公司的法規(guī)。該法規(guī)可以用于某些漏洞管理相關(guān)的流程或技術(shù)。漏洞管理相關(guān)技術(shù)提供的報(bào)告，比如那些來自掃描和補(bǔ)丁管理系統(tǒng)。網(wǎng)絡(luò)和IT部門使用這些報(bào)告來記錄網(wǎng)絡(luò)安全審計(jì)和整治，包括涉及到危險(xiǎn)嚴(yán)重的漏洞細(xì)接、優(yōu)先列表，并核實(shí)用補(bǔ)丁或解決方法修復(fù)的漏洞。

　　合規(guī)最重要的理念是漏洞管理可以自動(dòng)做很多事情，這些事情曾經(jīng)是昂貴、耗時(shí)的手動(dòng)流程。獲得正確的漏洞管理解決方案不僅能保護(hù)你的網(wǎng)絡(luò)和數(shù)據(jù)-- 通過漏洞管理自動(dòng)化，它也可以節(jié)省你的費(fèi)用，任何企業(yè)都可以輕松地使用自動(dòng)漏洞管理。