漏洞管理産品是如何工作的?在評估廠商漏洞管理産品時,企業資訊安全專業人員該着重看哪些要素?
漏洞管理表明了安全漏洞存在于每個組織機構中。每天大量的作業系統、應用以及基礎設施的安全警報意味着你的企業很可能有潛在的安全問題,且尚未被發現。現實是你的企業的it環境存有漏洞,而你的團隊還尚未修正好的時候,下一波問題已然來臨。
漏洞管理工具幫助資訊安全團隊走在安全問題的前頭。它們結合了先進的漏洞檢測能力及優先級算法,以幫助企業識别需要立即關注的問題,這樣,企業就可以更加專注于那些能導緻洩漏事故的漏洞上去。
那麼,如何為你的企業挑選最佳的漏洞管理工具呢?你需要了解漏洞管理是如何橋接到企業安全中的,也要知道漏洞管理系統必須要具備的特性。
漏洞管理工具工作原理
廠商漏洞資料庫是漏洞管理産品的基礎。這個頻繁更新的資料庫包括廠商安全研究組所知曉的每個安全漏洞。同時,它也包括讓掃描器探測網絡系統中漏洞的測試資訊。
通常,漏洞管理産品要先對網絡資産進行梳理。可能會把資訊從活動目錄或現有資産管理系統中調出來,并将資訊和對活動ip位址進行的高水準網絡掃描的結果結合起來。一旦它确定了系統處在一個怎樣的網絡中,它就會對每個系統進行一次基本掃描,來識别運作在主機上的作業系統及應用程式。然後,漏洞管理工具返到漏洞資料庫中,去檢索可能影響主機的漏洞資訊,并開始執行系統測試來揪出潛在的漏洞。
掃描一完成,好戲就開始了。通常,安全專家都會對掃描感到頭疼,因為掃描結果往往提示出成百上千的配置缺陷。漏洞管理系統的真正力量在于它能幫助安全團隊整理資訊的泥沼,優先考慮能對組織機構安全态勢造成影響的活動。它通過綜合漏洞嚴重程度和影響程度、系統的優先級和任何可能存在的合規問題等資訊來實作這種整理與篩選。這種優先級就是将一個簡單的漏洞掃描器轉換成一個強大的漏洞管理平台。
漏洞管理産品特性
漏洞管理工具市場已經非常成熟,有很多高品質産品幫助安全專家完成鑒定和修複任務。當你為企業環境進行産品評估時,應先廣撒網,确定幾種不同的産品。如果不是親自驗證,你無法對一個産品擁有實戰經驗。
在産品評估階段最為重要的一個标準是使用者體驗。特别是當你的拓展計劃超出了資訊安全團隊和系統工程師的對安全産品的了解範圍時,這顯得尤為重要。如果他們發現産品使用起來很困難,那麼你想在企業中應用該産品也必将困難重重。
下面是評估漏洞管理工具時需要考量的其他重要的特性:
品質和更新速度。廠商釋出新版本的頻率如何?它們能否精确檢測漏洞?你可以選取一個最新的、知名度較高的漏洞,來看漏洞釋出與廠商更新的時間差。這要花多久?
與你的企業環境的相容度。廠商的漏洞資料庫是否包括你企業中的所有主要的應用、作業系統以及基礎設施?
是否支援雲服務。産品是否能檢測出在iaas、paas和saas環境下的問題?
合規性。産品是否為你的企業合規項目提供支援?如果你受pci dss所限制,你能否使用該産品來執行所需要的掃描以及完整的自我評估?
優先級。根據優先算法什麼樣的資訊因素會被列出來?它是否同時支援自動優先級和手動配置,以滿足你更高效地使用産品實作預期目标?
主動和被動檢測。産品是否內建了傳統的主動系統掃描與基于網絡流量檢測而進行的被動漏洞檢測?産品是否允許在系統上安裝代理執行自動掃描以降低錯檢率?
修複指南。産品可以為識别出的漏洞提供什麼樣的修複指南?當你看産品報告時,它是否提供了足夠的資訊來幫助你修複漏洞?或者說,你是否還需要其他額外的研究?
廠商支援。合同上有寫明廠商支援嗎?廠商承諾的響應時間是?
你可以使用上述這個特性清單拉開選擇産品的帷幕。你也可以衍生出自己的優先級清單,并為适用于你企業的産品進行排名。
作者:mike chapple
來源:51cto