工業(yè)無線

漏洞管理二:進行漏洞管理(下)

ainet.cn   2016年09月12日

  第3步:驗證漏洞

  對清單

  用戶可以使用漏洞掃描的結(jié)果來驗證漏洞是否匹配實際的設(shè)備、軟件和網(wǎng)絡(luò)中的配置。這一步的價值是最小化查找風(fēng)險工作,找到不適用的網(wǎng)絡(luò)配置。顯然,這項任務(wù)最好是自動完成。智能掃描應(yīng)用程序,如QualysGuard,旨在準(zhǔn)確識別網(wǎng)絡(luò)上與風(fēng)險相關(guān)的設(shè)備和應(yīng)用--消除“誤報”和“漏報”的常見錯誤,避免在漏洞管理過程中的效率低下。

  在掃描結(jié)果中搜尋

  掃描結(jié)果需要被:

  ● 綜合化;

  ● 具體化,尤其要有漏洞數(shù)據(jù)和補救說明;

  ● 避免掃描結(jié)果有過多的誤報或漏報;

  ● 容易理解。

  由于過濾了與清單不匹配的漏洞,漏洞掃描結(jié)果減少了一些誤報。追擊誤報是浪費IT工作人員時間和進行漏洞管理的低效方式。同樣地,當(dāng)漏洞管理方案未能檢測到網(wǎng)絡(luò)中實際存在的漏洞時,可能會出現(xiàn)漏報。不知道相關(guān)的漏洞就把企業(yè)網(wǎng)絡(luò)置于被黑客利用的風(fēng)險之中。

  良好掃描結(jié)果能提高勝算

  業(yè)界和政府做了大量的工作,旨在收集關(guān)于網(wǎng)絡(luò)漏洞的數(shù)據(jù)。企業(yè)選擇的漏洞管理方案應(yīng)納入盡可能多的成果,盡可能吸取漏洞研究人員的集體智慧。我們來看看:

  ● 通用漏洞披露網(wǎng)站:;

  ● 美國國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)的國家漏洞數(shù)據(jù)庫:。該NIST數(shù)據(jù)庫把通用漏洞披露(CVE)帶到更高水平:對每個漏洞有詳細的信息;

  ● 系統(tǒng)管理、審計、網(wǎng)絡(luò)、安全(SANS)的前20:

  ● 美國計算機應(yīng)急準(zhǔn)備小組(CERT)漏洞注釋數(shù)據(jù)庫:

  ● 一家特定漏洞管理廠商從自己正在研究和開發(fā)工作中收集的知識庫。

  選擇的漏洞管理方案需要包括這樣的功能:搜索特定類型設(shè)備上的漏洞,運行特定操作系統(tǒng)和特定應(yīng)用。圖2-5顯示了一個被稱為“紐約資產(chǎn)組”的搜索和在該組中,所有Linux主機上運行HTTP服務(wù)的IP地址。

  圖2-5:從一個自定義資產(chǎn)搜索的結(jié)果。

 

  良好的掃描結(jié)果是準(zhǔn)確、最新和簡潔的漏洞信息,用戶可以信任并應(yīng)用企業(yè)網(wǎng)絡(luò)上資產(chǎn)。

  用技術(shù)來改進掃描

  尋找操作系統(tǒng)(OS)中使用不同發(fā)現(xiàn)技術(shù)的掃描器,例如標(biāo)志抓取和二進制抓取、操作系統(tǒng)特定協(xié)議、TCP/ IP協(xié)議棧指紋識別(判定操作系統(tǒng)被遠程目標(biāo)所使用)和被動技術(shù),如數(shù)據(jù)包欺騙(用假的源IP地址隱瞞或偽造身份)。指紋識別意味著在請求注解(RFC)標(biāo)準(zhǔn)的實施中按細微變化仔細檢查。服務(wù)發(fā)現(xiàn)引擎通過檢查TCP和UDP服務(wù)檢測后門程序、木馬和蠕蟲,包括TCP和UDP服務(wù),包括那些在非默認端口和假標(biāo)志檢測。類似的發(fā)現(xiàn)過程是使用指紋HTTP應(yīng)用程序,利用軟件的版本ID、服務(wù)包ID和安裝補丁。一個好的掃描器與OS和HTTP指紋檢測相關(guān),能快速找到真正的漏洞,并最大限度地減少誤報。

  第4步:風(fēng)險的分類

  一次工作而解決所有的問題是不可能的。事實上,在大型企業(yè)中,如果沒有適當(dāng)?shù)胤诸?、分割并以有意義的方式分級,漏洞的數(shù)量可能大的驚人。漏洞管理工作流程允許用戶自動排列漏洞,定義可能影響關(guān)鍵系統(tǒng)的關(guān)鍵問題--一路找到可能影響不太重要設(shè)備的不太關(guān)鍵問題。簡而言之,用戶需要決定先解決哪些問題。

  設(shè)計一個分類方案

  用戶可以設(shè)計一個自己的分類方案或采取其他來源的評定量表。比如,微軟提出了四類風(fēng)險,(見):

  ● 嚴(yán)重:被利用可能使互聯(lián)網(wǎng)蠕蟲無需用戶操作就能傳播;

  ● 重要:被利用可能會危害用戶數(shù)據(jù)的機密性、完整性和可用性或處理資源的完整性或可用性;

  ● 警告:被利用是嚴(yán)重的,但可以通過一些因素緩解,如默認配置、審計、需要用戶行動,或增加破壞難度。

  ● 注意:被利用非常困難,或影響微乎其微。

  掃描報告的元素

  一個漏洞管理解決方案應(yīng)該為每個檢測到的漏洞自動分配一個類別和嚴(yán)重等級,諸如在圖2-6中所示的掃描報告例子。該系統(tǒng)應(yīng)指示漏洞、潛在漏洞和信息數(shù)據(jù),如特殊設(shè)備上運行的服務(wù)。嚴(yán)重等級表明了漏洞帶來的安全風(fēng)險和它的難度等級。漏洞破壞的結(jié)果可以從主機信息披露到主機完全被控等不同等級。

  圖2-6:網(wǎng)絡(luò)識別漏洞的掃描報告

 

  第5步:預(yù)測試補丁,修補和解決方法

  在軟件廠商重寫部分應(yīng)用程序后,導(dǎo)致“治愈”的軟件編譯(或補丁)仍容易出其他錯誤。軟件廠商往往被迫迅速發(fā)布一個補丁,而這個補丁可能會與網(wǎng)絡(luò)上的其他應(yīng)用沖突。因此,將其應(yīng)用到真正系統(tǒng)之前,用戶需要預(yù)先測試補丁。有些錯誤補丁在不經(jīng)意間崩潰了業(yè)務(wù)流程。

  預(yù)測試指南

  按照下面這些提示進行預(yù)測試:

  ● 確保測試在企業(yè)的獨特環(huán)境中進行。補丁的大多數(shù)問題是由于第三方應(yīng)用修改了默認配置;

  ● 企業(yè)需要驗證密碼校驗(冗余校驗,以保持?jǐn)?shù)據(jù)的完整性),非常好的隱私簽名和數(shù)字證書能確認任何補丁的真實性。用戶可以直接從廠商獲得補丁進一步驗證這一點;

  ● 檢查補丁修補的漏洞,不會影響業(yè)務(wù)流程的應(yīng)用和運行。

  使用包括補丁說明的漏洞管理方案

  選擇一種全面的漏洞管理方案,包括為修補漏洞鏈接到推薦方案的信息,如從廠商得到補丁和解決方法。最好是,這些方案通過了漏洞管理方案提供者的測試和驗證,可以節(jié)省用戶的時間,并幫助用戶進一步簡化修復(fù)過程。圖2-7顯示了內(nèi)置鏈接如何讓用戶點擊一個特定的漏洞,并立即看到有關(guān)漏洞的背景技術(shù)細節(jié)以及如何修復(fù)它。

  圖2-7:點擊鏈接到驗證漏洞的解決方案。

 

  第6步:應(yīng)用補丁、修補和解決方法

  發(fā)現(xiàn)和修復(fù)安全問題是漏洞管理的核心。傳統(tǒng)的手工尋找漏洞并建議補丁和其他修復(fù)行動過于緩慢,容易出錯,而且價格昂貴。有時,打補丁再加上大量廠商應(yīng)用檢測的高成本導(dǎo)致企業(yè)延遲修復(fù)。

  企業(yè)可能會延遲更新-- 即使是關(guān)鍵補丁-- 直到進行多個補丁、服務(wù)包或每月,每季或每年定期的更新過程。

  不幸的是,延遲可能是致命的策略,因為攻擊者會很快發(fā)現(xiàn)潛在的威脅。缺陷與破壞之間的窗口在不斷收縮。

  修補指南

  按照下面的這些提示來打補丁:

  ● 盡快修補漏洞和最小化風(fēng)險-- 把關(guān)鍵系統(tǒng)的關(guān)鍵問題放在首位。

  ● 自動補丁管理和軟件分發(fā)方案能夠幫助加快這一過程,并把成本降到最低。卷回功能可以把軟件到恢復(fù)以前的狀態(tài),并確保企業(yè)有效地使用適當(dāng)?shù)能浖姹尽?/FONT>

  ● 集成補丁與其他漏洞管理的自動過程是有益的。例如,有些軟件提供了一鍵鏈接漏洞補丁、修復(fù)和解決方法。

  內(nèi)置故障標(biāo)簽

  當(dāng)用戶開始檢查漏洞報告時,下面的情況對漏洞管理系統(tǒng)非常有用,馬上給用戶指定一個故障標(biāo)簽 -- 一種跟蹤系統(tǒng)問題–針對一種特殊漏洞,可以加速修復(fù)工作流程。

  故障標(biāo)簽幫助企業(yè)-- 尤其是大型企業(yè)-- 自動分配和指定漏洞修復(fù)行動,指向某些個人或組。例如,用戶可以把所有嚴(yán)重級Web服務(wù)器風(fēng)險定向到webIT安全管理經(jīng)理,把較低級的風(fēng)險分配給其他人員。

  故障標(biāo)簽分配的一個例子見圖2-8。

  圖2-8:一鍵分配漏洞故障標(biāo)簽

 

  確保企業(yè)的漏洞管理方案能讓IT安全團隊分析修復(fù)趨勢,包括標(biāo)簽的“打開”和“關(guān)閉”狀態(tài)(問題沒解決和已解決)的長期趨勢。這有利于進度跟蹤,易于安全指標(biāo)分析。圖2-9顯示了標(biāo)簽狀態(tài)跟蹤和報告的一個例子。

  圖2-9:故障標(biāo)簽工作流程的長期趨勢。

 

  第7步:驗證補丁重新掃描

  應(yīng)用了補丁或者完成了修復(fù)過程后,一定要重新掃描IP連接的資產(chǎn)-- 尤其是重要的資產(chǎn)-- 如圖2-10所示。此步驟驗證了修復(fù)工作,使它不會導(dǎo)致其他網(wǎng)絡(luò)設(shè)備、服務(wù)或應(yīng)用發(fā)生故障或暴露其它的漏洞。

  經(jīng)營風(fēng)險和安全風(fēng)險是兩項你可以用來排序修復(fù)工作的指標(biāo)。例如,極有價值的資產(chǎn)可能具有更高的修復(fù)優(yōu)先等級,即使在這些系統(tǒng)上檢測到較低安全風(fēng)險的漏洞。低優(yōu)先級的資產(chǎn)(如托管服務(wù)器為公司提供午餐菜單)可能有嚴(yán)重漏洞,但業(yè)務(wù)風(fēng)險(和修復(fù)漏洞的優(yōu)先級)不會超過其更重要的關(guān)鍵業(yè)務(wù)系統(tǒng)。

  圖2-10:對關(guān)鍵資產(chǎn)的漏洞管理報告。

 

  報告符合法律法規(guī)

  有驗證修復(fù)掃描結(jié)果的報告可提供充足的文件,審計檢查是否符合法律法規(guī)的擔(dān)保條款,如PCI DSS安全規(guī)定(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)),HIPAA(健康保險流通與責(zé)任法案),巴塞爾II,格雷姆--里奇-- 比利雷,以及薩班斯-- 奧克斯利法案。有些漏洞管理方案提供了為特定法規(guī)的自定義模板。圖2-11顯示了一個合規(guī)文件的例子。

  圖2-11:漏洞管理報告記錄符合PCI DSS標(biāo)準(zhǔn)。

 

  報告符合內(nèi)部政策

  用戶漏洞管理方案需要提供創(chuàng)建自定義報告的功能,確認符合內(nèi)部運營政策。有些軟件自動創(chuàng)建許多符合法律法規(guī)的報告,并能提供簡單的定制特性,用于記錄遵守各種業(yè)務(wù)政策的行為,如圖2-12。

  圖2-12:財務(wù)系統(tǒng)的安全合規(guī)報告。

 

  選擇漏洞管理方案的時間

  在這一部分,用戶要復(fù)審漏洞管理的步驟?,F(xiàn)在是選擇解決方案的時候了,這可以:

  ● 映射企業(yè)的網(wǎng)絡(luò)和設(shè)備;

  ● 準(zhǔn)確、高效地掃描潛在數(shù)量的漏洞;

  ● 明確和全面報告掃描結(jié)果;

  ● 指導(dǎo)修復(fù)過程;

  ● 測試并確認修復(fù)了漏洞;

  ● 自動生成準(zhǔn)確、全面和詳細的報告,驗證是否符合內(nèi)部政策和安全方面的法律法規(guī)。

標(biāo)簽:羅克韋爾自動化 漏洞管理 我要反饋 
泰科電子ECK、ECP系列高壓直流接觸器白皮書下載
世強
優(yōu)傲機器人下載中心
億萬克
專題報道