漏洞管理产品是如何工作的?在评估厂商漏洞管理产品时,企业信息安全专业人员该着重看哪些要素?
漏洞管理表明了安全漏洞存在于每个组织机构中。每天大量的操作系统、应用以及基础设施的安全警报意味着你的企业很可能有潜在的安全问题,且尚未被发现。现实是你的企业的IT环境存有漏洞,而你的团队还尚未修正好的时候,下一波问题已然来临。
漏洞管理工具帮助信息安全团队走在安全问题的前头。它们结合了先进的漏洞检测能力及优先级算法,以帮助企业识别需要立即关注的问题,这样,企业就可以更加专注于那些能导致泄漏事故的漏洞上去。
那么,如何为你的企业挑选最佳的漏洞管理工具呢?你需要了解漏洞管理是如何桥接到企业安全中的,也要知道漏洞管理系统必须要具备的特性。
漏洞管理工具工作原理
厂商漏洞数据库是漏洞管理产品的基础。这个频繁更新的数据库包括厂商安全研究组所知晓的每个安全漏洞。同时,它也包括让扫描仪探测网络系统中漏洞的测试信息。
通常,漏洞管理产品要先对网络资产进行梳理。可能会把信息从活动目录或现有资产管理系统中调出来,并将信息和对活动IP地址进行的高水平网络扫描的结果结合起来。一旦它确定了系统处在一个怎样的网络中,它就会对每个系统进行一次基本扫描,来识别运行在主机上的操作系统及应用程序。然后,漏洞管理工具返到漏洞数据库中,去检索可能影响主机的漏洞信息,并开始执行系统测试来揪出潜在的漏洞。
扫描一完成,好戏就开始了。通常,安全专家都会对扫描感到头疼,因为扫描结果往往提示出成百上千的配置缺陷。漏洞管理系统的真正力量在于它能帮助安全团队整理信息的泥沼,优先考虑能对组织机构安全态势造成影响的活动。它通过综合漏洞严重程度和影响程度、系统的优先级和任何可能存在的合规问题等信息来实现这种整理与筛选。这种优先级就是将一个简单的漏洞扫描器转换成一个强大的漏洞管理平台。
漏洞管理产品特性
漏洞管理工具市场已经非常成熟,有很多高质量产品帮助安全专家完成鉴定和修复任务。当你为企业环境进行产品评估时,应先广撒网,确定几种不同的产品。如果不是亲自验证,你无法对一个产品拥有实战经验。
在产品评估阶段最为重要的一个标准是用户体验。特别是当你的拓展计划超出了信息安全团队和系统工程师的对安全产品的理解范围时,这显得尤为重要。如果他们发现产品使用起来很困难,那么你想在企业中应用该产品也必将困难重重。
下面是评估漏洞管理工具时需要考量的其他重要的特性:
质量和更新速度。厂商发布新版本的频率如何?它们能否精确检测漏洞?你可以选取一个最新的、知名度较高的漏洞,来看漏洞发布与厂商更新的时间差。这要花多久?
与你的企业环境的兼容度。厂商的漏洞数据库是否包括你企业中的所有主要的应用、操作系统以及基础设施?
是否支持云服务。产品是否能检测出在IaaS、PaaS和SaaS环境下的问题?
合规性。产品是否为你的企业合规项目提供支持?如果你受PCI DSS所约束,你能否使用该产品来执行所需要的扫描以及完整的自我评估?
优先级。根据优先算法什么样的信息因素会被列出来?它是否同时支持自动优先级和手动配置,以满足你更高效地使用产品实现预期目标?
主动和被动检测。产品是否集成了传统的主动系统扫描与基于网络流量检测而进行的被动漏洞检测?产品是否允许在系统上安装代理执行自动扫描以降低错检率?
修复指南。产品可以为识别出的漏洞提供什么样的修复指南?当你看产品报告时,它是否提供了足够的信息来帮助你修复漏洞?或者说,你是否还需要其他额外的研究?
厂商支持。合同上有写明厂商支持吗?厂商承诺的响应时间是?
你可以使用上述这个特性清单拉开选择产品的帷幕。你也可以衍生出自己的优先级列表,并为适用于你企业的产品进行排名。
作者:Mike Chapple
来源:51CTO