网络安全
脆弱性管理基础
脆弱性管理是维护组织数字基础设施库、探测其脆弱性并修复已识别的弱点的过程和产品的组合。它是一个循环的做法,是与众所周知的IT格言相反的,即“如果没有坏,就不要修复它”。这个原则在今天的企业安全中简单不起作用。如果数字资产不被持续监控和加固,它们就会变成低垂的果实。
扫描器不够
与 漏洞扫描器不同,脆弱性管理的主要目标是加强基础设施安全并对超级危险的威胁做出紧急响应。找到系统中的漏洞只是半个战斗,必须修复它,以便威胁者不能将其作为入口。漏洞评估和根据客户基础设施确定检测到的问题的优先级的方法同样重要。扫描器不能做到这一点。
脆弱性管理本质上是扫描过程的附加功能,评估、优先级和修复检测到的漏洞。客户的需求正在变化,而关键目标不再仅仅是发现漏洞,而是解决问题的方法。
至于漏洞管理系统使用的许可模式,它们通常基于受保护的IP地址数量。无论它们位于哪里或客户需要多少安装,都无关紧要。另一方面,漏洞扫描器的成本取决于安装数量和扫描参数,例如主机数量。
此外,还有不同类型的安装,一些供应商提供无限制使用其系统的功能。价格标签也可能受到功能集的影响,其中一些功能作为付费附加功能提供。
选择漏洞管理系统的标准
最重要的特征包括组织的规模、其位于不同时区的分支数量以及产品本地化,即检测特定区域和行业特定漏洞的能力。
一个有趣的因素与公司的InfoSec和IT部门如何协商解决方案的必要功能有关。InfoSec专家通常优先考虑漏洞检测,而IT团队主要关注补丁部署。因此,这两个领域的重叠将定义系统的参数。
还值得看一下更新的完整性和频率,以及扫描器支持的操作系统。理想的漏洞管理系统也应该适合组织所代表的行业和其当前使用的应用程序。
在签订合同阶段,供应商可能会向客户保证其准备好在未来添加新产品和功能。不幸的是,一些提供商并不总是能兑现这些承诺。因此,最佳方法是专注于解决方案现有的功能。
任何 漏洞管理系统的有用功能是能够用第三方来源的信息丰富自己的漏洞数据库。解决方案还可以提供一个特定漏洞的利用示例,这很好。
大多数客户面临着一个经典的困境:使用免费的扫描器还是从一开始就购买商业解决方案。维护最新的漏洞数据库是一个繁琐且昂贵的过程。因此,在免费产品的情况下,开发团队可能需要优先考虑其活动的其他领域以追求替代的收入来源,这解释了为什么这些扫描器有一些限制。
漏洞管理下的工具
在公司内部组织漏洞管理过程所需的解决方案集可能包括:
- 用于收集有关漏洞的信息的不同工具,例如扫描器、处理来自第三方来源的数据的工具以及InfoSec专家独立获取的信息存储库。
- 定义CVSS评分并衡量受潜在影响的资产价值的漏洞优先级工具。
- 与外部数据库交互的工具。
- 处理组织、其基础设施和全球攻击面的漏洞的系统。
资产管理和自动补丁
资产管理过程应该具有最大程度的自动化,涵盖组织的整个基础设施,并定期进行。除非满足这些条件,否则无法优先考虑漏洞。同样,没有办法在不知道它由什么组成的情况下控制组织的IT基础设施。因此,资产管理是漏洞管理的极其重要的一部分。
自动化 补丁管理过程的主要前提是为每个漏洞签名分配特定的标识符,并确保下一次更新解决它。这是一个复杂的工作流程,具有许多陷阱。跳过单个更新的后果可能是灾难性的,因此补丁部署必须尽可能地协调一致。
还需要将自动补丁调整到特定的应用程序区域。对于工作站,限制更新到操作系统和基本软件(如浏览器和办公应用程序)是可以接受的。在服务器的情况下,事情更加复杂,因为有很多东西处于风险之中,一个有缺陷的更新可能会影响业务关键IT资源的可用性。
当谈到监控企业基础设施时,大多数公司更喜欢扫描而不是在端点上安装代理,因为它们经常成为 恶意软件入口点。但是,如果以其他方式无法访问主机,则必须使用数据收集应用程序。
如前所述,InfoSec和IT部门之间的无缝交互可以带来改变。两个团队必须就指定谁负责安装特定资源的更新以及多久更新一次的政策达成一致。基本上,漏洞管理过程应该归结为监控遵守这些协议和安装紧急补丁。
漏洞管理系统的未来是什么?
目前,资产监控和补丁部署的自动化有着明显的趋势。随着企业基础设施继续迁移到 云中,漏洞扫描过程可能会简化为检查云安全设置。另一个演化方向是改进漏洞评估系统。漏洞优先级工具将包括更多数据,特别是关于最“可利用”的漏洞。
也有可能这些系统将在未来几年内转向一种全面的逻辑,即单个解决方案将提供完整的InfoSec管理工具谱系。包含漏洞管理、资产管理和风险管理功能以及其他保护功能的全面平台的出现是很有可能的。也许,将会有一个用于所有数字基础设施元素的漏洞管理控制台,从服务器或打印机到专用主机上的容器。
