1.6 有缺陷的漏洞管理示例
当人们在落实漏洞管理措施时,通常不太认真。例如,某公司为符合支付卡行业(Payment Card Industry,PCI)标准的规定,打算在整个企业中部署漏洞管理代理软件。该公司之所以这么做仅仅是因为审计人员告诉他们应该这么做,于是他们就做了,完全不考虑这项措施能够带来的收益和实施的效果。这样一来,唯一的有形要求就是这项已部署的技术,但没有人思考接下来的事情,例如这些显而易见的问题:“我们应该在哪些主机上安装漏洞管理代理软件?”“首先应该修复什么样的漏洞?”等。我把这种做法称为复选框安全策略(check box security strategy),即经公司授权的某个人向公司提供一份任务清单,然后公司就对照执行,每完成一项就在上面打钩。
复选框安全策略的另一个明显问题在于,能解决造成众多漏洞的根源的某个工具却没有正式的负责人。在上述例子中就体现为,代理软件和服务器安装后却没有指定任何人负责维护它们。不管用什么办法,系统是无法自行维护的。所以需要有人查看系统报告,修复或重装组件或代理软件,并确保报表服务器处于良好的运行状态。还需要有人负责监控整个系统,确保系统能达到预定目标。这和军队部署是类似的,如果没有指挥官的监管,部队就难以协调一致地行动。
