如今,在经营企业过程中一个不容忽视的事实是, 网络攻击并没有消减,而黑客们总在试图找到访问公司内部网络和系统的新方法。黑客们一直钟情的利用企业漏洞的一种途径就是在厂商发布补丁之前找到软件中的漏洞。不幸的是,这种趋势正在增长。据美国国家漏洞数据库的报告, 2014年平均每天发现约19个漏洞,这个数字比2013年时候有了巨增,而且未来几年漏洞数量都将持续高涨。
这些漏洞往往无法受到其它安全措施(如防火墙,因为防火墙往往成为攻击者直接进入软件的未知后门)的保护。安全方案需要知道自己在寻找的内容,所以将漏洞管理包含在企业的全局安全方法中是很重要的。漏洞管理就是积极地保障易遭受攻击的软件组件的安全。安全工程师应关注的主要领域往往是操作系统、浏览器及其插件、业务应用、Web应用等,但是还有许多其它的软件可能包含潜在的漏洞。漏洞管理方案可以持续地扫描特定环境,不管是扫描服务器还是端点,都可以查找软件设计中的缺陷。在找到漏洞后,我们就可以将漏洞交给适当的人员或团队,并由其及时发布补丁和解决问题。
漏洞管理如何与其它措施协作
漏洞管理应成为每家企业的基本安全过程。为了减少攻击面,你要确保运行的都是操作系统和其它软件的最新版本。为此,你需要确保漏洞管理方案与配置管理、补丁管理的过程和方案实现集成,并使其协调工作。在找到漏洞后,尽快地发布补丁至关重要,所以这些系统需要协同运行。
漏洞管理方案还应当可以访问某种持续的监视和扫描功能。以前,企业往往要求员工每隔一段时间就进行安全扫描,如每周一次或每天一次。但是,在两个时间点之间,仍有可能出现零日漏洞被利用的可能。零日漏洞的利用就是在软件厂商发现漏洞之前就发现并利用了漏洞。为捕获这些潜在的漏洞,你需要持续地监视服务器和端点,以尽可能减少零日漏洞被利用的范围。
而且,漏洞管理是一个听起来有些宽泛的词语,其内含包括了发现和管理漏洞的整个过程。属于这个范畴的一个词或一类方案就是“漏洞评估”。当然,漏洞评估是全面的漏洞管理项目的一个关键组件,但漏洞评估方案并不能解决一切问题。这类方案一般处理的是监视、发现、报告与漏洞管理有关的过程。但是,为了正确地响应和修复安全问题,你仍需要一个更全面的项目。
虽然多数企业认识到虚拟机项目的重要性,但是这些企业并没有通过解决漏洞而构建起能够减轻风险的强健项目。其中的一些限制条件与企业缺乏基本的要素有关,如资产管理、工作流管理、修复跟踪系统等。
优秀的漏洞管理方案是怎样炼成的
在选择漏洞管理或漏洞评估方案时,你应重视的基本特性包括能够查找缺失补丁、错误、系统配置缺陷、总体上偏离策略的大程度等方面的能力。一款好的漏洞管理产品还包括报告功能,对于企业来说,这尤其重要。发现漏洞此时未必是最大的痛点,而是应对企业正在发现的漏洞的数量。报告功能以及与求助系统和补丁管理系统的集成能力是企业应关注的问题。
如果贵公司在一个高度合规的行业中运营,你还要确保漏洞管理平台支持有关必要的规范。事实上,很多政府和行业规范都要求强健的漏洞管理实践,这意味着企业别无选择,而只能部署一套强健的系统,这不仅仅是为了防止网络攻击,更是为了保证合规。
如果你的漏洞管理过程和方案与SIEM(信息安全和事件管理)能够集成也是很有益的,其中后者往往充当公司全面安全方法的基础。在检测到漏洞或配置问题后,理想情况下就应将这些信息提供给SIEM工具,与来自其它源头(如防火墙和入侵防御系统)的信息实现关联。换句话说,你要保证漏洞管理方案与尽可能多的不同安全工具共享信息,以便于从每一个可能的角度保护网络。
以此观念为基础,适当的漏洞管理方案的另一个基本要求就是它要与CVE(常见漏洞及披露)的数据库相集成,后者可以给企业提供一些常见的软件漏洞的一个清单。这可以确保你的监视和扫描方案能够查找最新的潜在威胁。为使集成更强健,将威胁情报方案添加到总体防御中是很关键的,这可以使企业更容易获得实时的零日漏洞利用信息,在补丁可用之前这是很可行的。
换言之,你有一个有漏洞的软件组件,而且也有此漏洞的一个补丁,你想尽快应用补丁从而修补漏洞。但是攻击者一直在不断地查找其可以利用的漏洞,在其实施新的漏洞利用时,在厂商找到漏洞并交付更新补丁之前存在一段时间,这就是漏洞窗口。这正是你需要持续地监视并且与威胁情报进行整合的原因。
云服务和移动设备正在改变世界
无论你是一直遵循漏洞管理的原则或者刚刚开始重视,你都需要理解这个领域正在发生改变,而且随着新技术的不断出现,你需要变换策略才能防止网络攻击造成的损害。不幸的是,随着企业迁移到云和移动设备,黑客们也转而重视这些技术。
事实上,软件即服务(SaaS)供应商一般都拥有最多数量的漏洞。云可被用于各种恶意目的,如垃圾邮件、发布恶意软件、DDoS、口令和哈希破解等。除了云计算之外,大数据损害也会产生重大影响,并有可能产生严重的声誉损害和法律问题。企业未充分理解的任何新技术都必然带来新的威胁和漏洞。
对今天的漏洞管理策略而言,云计算就是一个挑战。而且,对于要求在高峰需求期间的任何自动扩展服务来说,问题也是这样。如果你在基本配置中有一个已知的漏洞,并且你现在实施自动扩展的服务器,你就是在不断地增加攻击面。在云环境中,更为重要的是,你要确保在自动升级之前,不断地扫描基本配置的漏洞和进行更新。
对移动设备而言,目前的状况并不太乐观,这是由于移动设备并没有管理员可以访问的远程端口。如果没有某种预置的客户端,要远程管理这些设备是很困难的,而且,如果不是公司发放的设备,你就不会获得与公司中其它设备同样的访问水平。而且,厂商们有可能正在克服这些困难,而且公司在寻找方法将移动设备纳入到其总体的安全策略中。
随着时间的推移,会有越来越多的企业将其移动设备包括在其漏洞管理方案中,但未必能够做好。从技术的观点看,移动设备的管理是很不同的。事实上,安全团队并没有真正地管理移动设备,而往往是由运营团队在进行管理。问题在于,企业必须重视由于移动设备的数量激增而引起的问题。