漏洞管理二：進(jìn)行漏洞管理(上)

　　漏洞管理(VM)是指系統(tǒng)地發(fā)現(xiàn)和消除網(wǎng)絡(luò)漏洞。漏洞管理使用的技術(shù)需要許多步驟或過(guò)程。有些步驟需要IT人員實(shí)施和跟進(jìn)。整合這些過(guò)程能產(chǎn)生更強(qiáng)的網(wǎng)絡(luò)安全并保護(hù)企業(yè)的系統(tǒng)和數(shù)據(jù)。要實(shí)現(xiàn)成功的漏洞管理，企業(yè)需要管理全部有明確安全策略的活動(dòng)。

　　把漏洞管理放入安全策略中

　　“策略”是一個(gè)時(shí)髦的術(shù)語(yǔ)，可能會(huì)使IT專家目瞪口呆。但是，掌握策略想法進(jìn)行漏洞管理會(huì)讓IT人員覺(jué)得像個(gè)CEO或者政治家那樣重要。漏洞管理的安全策略可以更容易地定義行動(dòng)，指導(dǎo)關(guān)于設(shè)置漏洞管理程序決策的制定。好策略能使企業(yè)和IT安全團(tuán)隊(duì)更容易、更快地發(fā)現(xiàn)漏洞，修復(fù)這些安全漏洞，并生成文檔，滿足合規(guī)的審計(jì)要求。

　　企業(yè)的策略創(chuàng)建和管理開(kāi)始于組織的頂部，并要求行政監(jiān)督，確保系統(tǒng)的實(shí)施。以下是一些關(guān)鍵的考慮因素：

　　● 策略決定了使用控制確保安全的性質(zhì)，如標(biāo)準(zhǔn)配置所有安全設(shè)備和應(yīng)用，包括防病毒、防火墻和入侵檢測(cè)和防御。 IT安全專家應(yīng)創(chuàng)建一個(gè)帶有配置和特性短名單的矩陣，使決策者能夠理解他們安全控制的選項(xiàng)。

　　● 策略和控制應(yīng)用于服務(wù)器、網(wǎng)絡(luò)服務(wù)、應(yīng)用和端點(diǎn)。

　　● 決策者們需要確定漏洞對(duì)每個(gè)資產(chǎn)(或資產(chǎn)組)的業(yè)務(wù)影響。例如，選擇午餐菜單的系統(tǒng)不能比維護(hù)客戶信息或金融數(shù)據(jù)的系統(tǒng)更重要。優(yōu)先級(jí)由衡量每個(gè)資產(chǎn)業(yè)務(wù)風(fēng)險(xiǎn)和重要性決定，從而影響漏洞修補(bǔ)的緊迫性和完成順序。

　　有些企業(yè)已經(jīng)使用軟件進(jìn)行策略管理、風(fēng)險(xiǎn)相關(guān)分析和安全管理。尋找漏洞管理的解決方案，包括應(yīng)用編程接口(API)，可使漏洞管理與現(xiàn)有安全策略自動(dòng)整合。

　　第一步：跟蹤商品清單和分類資產(chǎn)

　　為了修復(fù)漏洞，企業(yè)必須先了解什么是網(wǎng)絡(luò)中資產(chǎn)(如服務(wù)器、臺(tái)式機(jī)和設(shè)備)，然后進(jìn)行測(cè)試，發(fā)現(xiàn)可能存在的漏洞。

　　跟蹤商品清單和分類資產(chǎn)建立了一個(gè)評(píng)價(jià)基準(zhǔn)。在這個(gè)步驟中，企業(yè)需要?jiǎng)?chuàng)建并不斷維護(hù)連接在網(wǎng)絡(luò)上所有因特網(wǎng)協(xié)議(IP)設(shè)備的數(shù)據(jù)庫(kù)。這里是企業(yè)在網(wǎng)絡(luò)中連接的實(shí)際資產(chǎn)，由策略確定這些資產(chǎn)的相對(duì)商業(yè)價(jià)值。

　　識(shí)別企業(yè)的商品清單

　　漏洞掃描通常通過(guò)引導(dǎo)掃描器對(duì)一特定IP地址或地址范圍進(jìn)行，因此通過(guò)IP來(lái)組織企業(yè)的數(shù)據(jù)庫(kù)是非常有用的。圖2-1給出了一個(gè)例子：

　　圖2-1：創(chuàng)建網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)庫(kù)。

　　資產(chǎn)組元件中包括所有的硬件、軟件、應(yīng)用、服務(wù)和配置。跟蹤到這種詳細(xì)程度提供了以下好處：

　　● 該數(shù)據(jù)使企業(yè)能識(shí)別哪些漏洞影響到IT基礎(chǔ)設(shè)施的特別子集。

　　● 跟蹤商品清單有助于加速掃描過(guò)程，因?yàn)樗懿⑿袙呙瓒鄠€(gè)資產(chǎn)組。企業(yè)可以手動(dòng)跟蹤該數(shù)據(jù)，但通過(guò)自動(dòng)化整個(gè)商品清單過(guò)程，能使漏洞管理的發(fā)現(xiàn)和跟蹤要有效得多。圖2-2顯示了在漏洞管理發(fā)現(xiàn)過(guò)程中發(fā)現(xiàn)的網(wǎng)絡(luò)設(shè)備映射。

　　● 準(zhǔn)確的商品清單保證了在修復(fù)過(guò)程中選擇和應(yīng)用正確的補(bǔ)丁。

　　圖2-2：每個(gè)網(wǎng)絡(luò)資產(chǎn)的自動(dòng)映射和跟蹤。

　　通過(guò)業(yè)務(wù)風(fēng)險(xiǎn)排列資產(chǎn)優(yōu)先級(jí)

　　一個(gè)自動(dòng)化的漏洞管理系統(tǒng)提供了把業(yè)務(wù)風(fēng)險(xiǎn)優(yōu)先級(jí)分配到每個(gè)網(wǎng)絡(luò)資產(chǎn)的能力。這更容易修補(bǔ)計(jì)算機(jī)相關(guān)的漏洞、實(shí)施策略和規(guī)程-- 遠(yuǎn)比使用筆記本更準(zhǔn)確。漏洞管理數(shù)據(jù)庫(kù)的輸入控制屏幕，如圖2-3中所示，能基于安全風(fēng)險(xiǎn)對(duì)特定網(wǎng)絡(luò)資產(chǎn)進(jìn)行業(yè)務(wù)風(fēng)險(xiǎn)自動(dòng)分配。

　　當(dāng)企業(yè)使用該系統(tǒng)時(shí)，該漏洞管理資產(chǎn)跟蹤系統(tǒng)結(jié)合了這些業(yè)務(wù)風(fēng)險(xiǎn)。圖2-3顯示了這些值自動(dòng)分配到企業(yè)特定部分的資產(chǎn)類。

　　該結(jié)果使自動(dòng)化系統(tǒng)按業(yè)務(wù)風(fēng)險(xiǎn)跟蹤所有網(wǎng)絡(luò)資產(chǎn)，并把他們與已知漏洞相關(guān)聯(lián)。

　　圖2-3：由業(yè)務(wù)風(fēng)險(xiǎn)分配網(wǎng)絡(luò)資產(chǎn)的優(yōu)先級(jí)。

　　第二步：掃描系統(tǒng)的漏洞

　　漏洞管理有很多步驟，但掃描是發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)漏洞的基本過(guò)程。掃描技術(shù)的選擇是漏洞管理系統(tǒng)有效性最重要的元素。

　　漏洞掃描通過(guò)檢查網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的漏洞，來(lái)測(cè)試安全策略和控制的有效性。掃描提供了兩種收益：

　　1.該掃描系統(tǒng)地測(cè)試和分析IP設(shè)備、服務(wù)和應(yīng)用的已知安全漏洞。

　　2.掃描后的報(bào)告揭示了實(shí)際的漏洞，并指出企業(yè)需要解決的優(yōu)先級(jí)。

　　啟動(dòng)掃描

　　漏洞掃描由一個(gè)漏洞管理應(yīng)用啟動(dòng)。企業(yè)通常可以安排一個(gè)自動(dòng)掃描或按需掃描。該掃描請(qǐng)求需要指明特定的主機(jī)，要檢查的漏洞，指定IP地址、IP范圍和資產(chǎn)組的各種組合。圖2-4顯示了掃描的自動(dòng)啟動(dòng)。

　　圖2-4：自動(dòng)啟動(dòng)掃描。

　　這些內(nèi)容需要在啟動(dòng)前收集：

　　● 至少，需要IP地址(或IP地址范圍)，用于企業(yè)域和子網(wǎng)絡(luò)。

　　● 如果要掃描特定的設(shè)備，需要在啟動(dòng)掃描之前識(shí)別它們的IP。

　　● 需要你企業(yè)的業(yè)務(wù)合作伙伴準(zhǔn)備好IP地址，他們的網(wǎng)絡(luò)與企業(yè)的網(wǎng)絡(luò)集成業(yè)務(wù)功能共享應(yīng)用。一些企業(yè)法規(guī)要求掃描業(yè)務(wù)合作伙伴，為了確保私人身份信息的機(jī)密性、完整性和可用性-- 無(wú)論是客戶、員工或合作伙伴。如果他們的網(wǎng)絡(luò)與企業(yè)的網(wǎng)絡(luò)集成，企業(yè)需要掃描他們的IP地址，事先要提醒這些合作伙伴。

　　掃描工具的選項(xiàng)

　　掃描工具有很多選項(xiàng)。所有都要使用已知風(fēng)險(xiǎn)的漏洞數(shù)據(jù)??庫(kù)，但這些數(shù)據(jù)庫(kù)有不同的覆蓋和有效的質(zhì)量。有些需要企業(yè)安裝和維護(hù)軟件應(yīng)用，如Nessus公共域掃描器。這些都需要時(shí)間和資源-- 加上他們攜帶典型的運(yùn)行開(kāi)銷。

　　與此相反，軟件應(yīng)用也可以由供應(yīng)商托管并通過(guò)因特網(wǎng)用Web瀏覽器使用。這種交付模式稱為軟件即服務(wù)(SaaS)，很多企業(yè)開(kāi)始使用SaaS完成多種應(yīng)用-- 包括漏洞管理。使用SaaS的漏洞管理解決方案提供了用互聯(lián)網(wǎng)按需求進(jìn)行掃描的能力。用戶只需登錄自己的賬戶并在線管理一切。SaaS服務(wù)工作不需特殊軟件，并始終保持最新的和最全面的漏洞特征。因此，用戶不必?fù)?dān)心掃描技術(shù)的更新，因?yàn)樗麄冊(cè)诼┒垂芾硐到y(tǒng)中自動(dòng)更新。我們?cè)诘谌糠謱⒏敿?xì)地介紹使用SaaS進(jìn)行漏洞管理的好處。

　　案例#1：來(lái)自惡意無(wú)線設(shè)備的威脅

　　各種規(guī)模的企業(yè)都使用無(wú)線接入點(diǎn)，這樣做具有未聯(lián)機(jī)計(jì)算并提供移動(dòng)性的巨大收益。但移動(dòng)性也使企業(yè)網(wǎng)絡(luò)的失去了保護(hù)。這意味著，惡意設(shè)備可以很容易地繞過(guò)像防火墻和入侵防御等傳統(tǒng)的網(wǎng)絡(luò)安全控制。當(dāng)一個(gè)部門安裝一個(gè)未授權(quán)無(wú)線接入點(diǎn)時(shí)，出現(xiàn)了一個(gè)共同問(wèn)題-- 不經(jīng)意間，通過(guò)無(wú)保護(hù)端點(diǎn)對(duì)蠕蟲、病毒和其他風(fēng)險(xiǎn)暴露了整個(gè)企業(yè)的網(wǎng)絡(luò)和資產(chǎn)。

　　包含一些漏洞管理解決方案的網(wǎng)絡(luò)映射功能可以識(shí)別惡意設(shè)備并掃描到漏洞。掃描網(wǎng)絡(luò)中的惡意系統(tǒng)是防止攻擊的一個(gè)關(guān)鍵步驟。下圖顯示了識(shí)別未知“惡意”設(shè)備的漏洞管理報(bào)告。

　　掃描什么?

　　掃描什么的簡(jiǎn)單答案是這樣的：在連接到企業(yè)的網(wǎng)絡(luò)有相當(dāng)多的東西。下面是掃描到內(nèi)容的列表：

　　● 操作系統(tǒng)：微軟的Windows Vista，XP，CE，NT，2003，2000; Linux的BSD; MacOS X;Solaris;HP-UX;IRIX;AIX;SCO;Novell。

　　● Web服務(wù)器：Apache，微軟ISS;iPlanet;Lotus Domino;Ipswitch;Zeus;對(duì)虛擬主機(jī)的完全支持。

　　● SMTP / POP服務(wù)器：Sendmail;微軟的Exchange;Lotus Domino;網(wǎng)景的消息服務(wù)器;Qmail。

　　● FTP服務(wù)器：IIS FTP服務(wù)器;WuFTPd;WarFTPd。

　　● 防火墻：Check Point防火墻-1/ VPN-1和NG;思科PIX;JuniperNetScreen;Gauntlet;CyberGuard;Raptor。

　　● 數(shù)據(jù)庫(kù)：Oracle;SYBASE;MS SQL;PostgreSQL; MySQL。

　　● 電子商務(wù)：Icat;EZShopper;Shopping Cart;PDGSoft;Hassan Consulting Shopping;Perishop。

　　● LDAP服務(wù)器：網(wǎng)景;IIS;Domino;OpenLDAP。

　　● 負(fù)載平衡服務(wù)器：思科CSS，Alteon，F(xiàn)5 BIG IP;IBMNetwork Dispatcher;英特爾路由器;Administrable。

　　● 交換機(jī)和集線器：思科; 3Com;北電網(wǎng)絡(luò);Cabletron;朗訊;阿爾卡特。

　　● 無(wú)線接入點(diǎn)：思科;3Com公司;Symbol;Linksys;D-Link;Netgear;Avaya;Apple Airport;諾基亞;西門子。

　　識(shí)別漏洞名單

　　選擇的漏洞管理解決方案需要提供掃描和修復(fù)廣泛類別漏洞的能力，包括：

　　● 后門和木馬(旁路認(rèn)證系統(tǒng))。

　　● 蠻力攻擊(通過(guò)系統(tǒng)地嘗試不同的密鑰違抗加密)。

　　● CGI(利用通用網(wǎng)關(guān)接口)。

　　● 數(shù)據(jù)庫(kù)。

　　● DNS和綁定(利用域名服務(wù))。

　　● 電子商務(wù)應(yīng)用。

　　● 文件共享。

　　● 文件傳輸協(xié)議。

　　● 防火墻。

　　● 常規(guī)遠(yuǎn)程服務(wù)。

　　● 硬件和網(wǎng)絡(luò)設(shè)備。

　　● 信息/目錄服務(wù)。

　　● SMB / Netbios視窗(利用應(yīng)用層協(xié)議共享網(wǎng)絡(luò)服務(wù))。

　　● SMTP和電子郵件應(yīng)用。

　　● SNMP(利用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)。

　　● TCP/ IP(利用傳輸控制協(xié)議和因特網(wǎng)協(xié)議)。

　　● VoIP(利用Voice-over-IP協(xié)議)。

　　● Web服務(wù)器。

　　● 無(wú)線接入點(diǎn)。

　　● X-Windows(利用顯示協(xié)議)。