相当长一段时间以来,提到漏洞管理一般是指漏洞扫描器,人们印象中就是一台1U/2U的盒子在系统上线前进行一次扫描,看扫描结果中有没有漏洞,如果有就打补丁然后再扫描一次如果证明漏洞消失或在没有解决漏洞问题的情况下依然让系统上线,然后就没有然后了。
还有一种漏洞扫描器被广泛使用的情况就是WAF产品的销售过程中,经常是先拿扫描器进行扫描,然后部署WAF后再进行扫描,再对部署WAF前后的报告进行对比,从而证明WAF的作用。
还有一些安全厂商拿开源漏洞扫描器进行修改就变成了自己的产品,导致漏洞扫描器市场的产品大同小异,很难有某个产品能实现对漏洞的全生命周期进行管理。
随着安全形势越来越严峻,几乎每天都有新的漏洞出现,这还不包括0day漏洞,因此漏洞扫描器需要高频率的更新,在重大漏洞出现之日起24小时内就需要完成对自己系统环境的扫描,检查自己系统是否存在此漏洞,从而可以第一时间进行修复措施。如果反应慢了,可能自己的系统早已被利用并放置了恶意程序。
漏洞管理是一件枯燥、繁琐、乏味又耗时的工作,光靠人力难以全面完成这项工作,现实需要更高自动化的管理工具,包括定时对IT环境(各种IT物理和虚拟设备)进行扫描,并根据问题的严重性进行优先级划分,然后进行各种修复措施,并需要和运维及研发乃至管理层进行正确的沟通,这就需要每个团队自己可以看懂的报告。
当系统环境变的越来越复杂时只有完美的漏洞管理系统能带来最大的收益包括为安全运维人员节省时间,为管理层提供决策辅助,避免任何人为带来的疏忽等等。
漏洞管理解决方案分析
就目前的形势来看,漏洞管理系统有多种,常见的有网络漏洞扫描器、WEB应用扫描器、数据库系统扫描器等等。
总体来看漏洞管理系统有以下几点需要注意:
- 系统架构
(1)灵活部署
每个组织单位都有不同的系统和网络架构,因此漏洞管理系统需要能提供灵活的部署方式并能对扫描进行完全控制。这关系到扫描速度和精确性。
(2)分布式扫描
从管理控制中心对扫描进行管理并聚合扫描数据可以变漏洞管理系统变的更高效,并可以减小对网络的影响。分布式扫描包括用来管理扫描运作、报表、等工作的中心控制台以及远程部署的扫描引擎从而可以覆盖整个IT环境。
(3)内部&外部扫描
从不同的视角来看系统的表现是不同的。内部扫描可以从边界防火墙内侧评估网络,外部扫描可以从外部进行远程扫描。使用内部和外部扫描可以让您对全面了解风险所在。
(4)扩展性
就像您自己的IT环境在增长和变化一样,漏洞管理系统也需要快速简单的增长。理想状态下你应当可以通过增加扫描引擎来提高漏洞管理系统的能力。
- 扫描
漏洞扫描是识别IT环境中风险的重要技术,但高效的安全管理规划需要综合性的解决方案而不是简单的列出漏洞。
(1)资产发现
在你评估和管理风险之前你需要知道你都有哪些IT资产。扫描你的整个网络来发现所有的IT资产,包括操作系统、应用程序和服务等等,这是有效漏洞管理的基本。并且资产应该可以根据多种属性进行自动分类,而不仅仅是基于IP地址,并且随着时间的流逝可以被方便的进行跟踪。
(2)统一漏洞和配置评估
通过一次评估扫描发现资产、漏洞和错误配置可以最小限度的减少对网络的影响,减少扫描时间和管理负荷。并且解决方案也应当为漏洞和配置评估提供统一的用户界面和报表,从而可以拥有关于安全风险和合规要求的完整视图。
(3)认证(登录)扫描
登录资产进行深度扫描使你可以拥有对风险的更高可视度,可以提供更多的信息,例如设备配置。相比而言远程扫描仅仅提供一个外部的视角。登录扫描非常重要,但往往被忽视。
(4)虚拟化和云环境
虚拟化和云技术使组织单位可以按需配置资源,同时也造成一个安全上的挑战因为大部分的解决方案不能区分扫描的是真实还是物理资产。漏洞管理解决方案应该可以动态发现和评估虚拟和云资产的风险。
(5)扫描频率
网络环境不是一成不变的,相反稍微大一些的IT环境都会经常有各种各样的变化。通过定期的扫描你可以确保安全风险会被及时发现并修复。扫描应该至少每月一次或每周一次甚至每天,并且在设定到一个特定的时间窗口最小化对网络的影响。
- 排序和修复
对于安全团队来讲一个经常遇到的挑战是决策哪个漏洞和资产需要第一时间关注和处理,并建立一个有效的工作流来尽快的定位它们。
(1)风险评分
当一个组织IT环境中的漏洞数量达到数以千计甚至更多时,你就需要一个高级的风险评分算法找出哪些漏洞需要优先处理。简单的使用CVSS评分系统不足以对漏洞进行优先排序。风险评分应当考虑到威胁衡量标准,例如是否有已公开的漏洞利用和恶意软件,以及漏洞出现的时间。
(2)业务关联
有效的漏洞排序解决方案需要更多关于IT资产的信息,例如所处的地理位置、角色职责、资产所有者以及其他和业务相关的重要性。这种业务相关的商业智能使你可以对重要业务系统和数据进行修复优先排序。解决方案还应当提供基于一个资产的重要性自动修改风险评分的能力。
(3)漏洞验证
扫描和渗透测试集成可以使你快速验证扫描出的漏洞是否会带来真正的风险。这可以使验证过的漏洞能得到及时的关注和修复,并可以对那些不可被利用的漏洞设置例外。漏洞管理系统和渗透测试系统的集成需要是高度自动化的并且数据是可以无缝的在2个系统中进行传输。
(4)修复方案
当你找到并对风险进行排序之后,需要人力去修复它们。对于高效的修复工作流程,使用报表系统使你可以创建更高效的修复报告来减少整体风险。这就要求执行修复方案的人员能明白报告中描述的修复步骤,所需要的修复时间,以及相关的补丁、下载项和参考指南。
(5)修复作业
发现风险和分配修复任务之间的延迟意味着资产未受保护的时间。每次扫描完成后根据业务关系修复计划应该自动的发送给资产的所有者进行立即修复。
- 报告
漏洞扫描可以产生大量的信息,因此识别什么真正重要非常关键,并且需要是清楚、精确和可执行的形式。
(1)梳理过的报告
在同一个用户界面,通过聚合从每个扫描引擎收集来的数据进来整理成报告,你可以集中管理优先排序和修复的工作流,而且可以分析组织的安全风险和合规情况。解决方案应当表现漏洞、配置、策略合规以及其他资产信息例如安装的应用和应用的服务。
(2)报告模板和定制
随系统自带的报告模板应当可以满足各种不同用户的需要,例如针对管理层的报告展示风险态势,IT运营报告要展示详细的修复步骤。并且模板应当是完全可以定制的,并支持各种格式,这样就可以调整模板来满足组织的需要。
(3)报告计划和分发
扫描完成后报告越及时的发给相关人员越能快速的修复漏洞或辅助进行决策支持。每次扫描或周期性的扫描完成后可以基于专属性质生成报告和进行分发。解决方案应当可以允许你指定报告应该通过电子邮件发给谁,同时可以通过用户界面访问这些报告。
(4)资产和漏洞过滤
哪些系统可能会受到一个新的0day漏洞的影响?资产和漏洞过滤可以被用来回答这个复杂的安全问题,并可以快速的洞察组织中的IT安全风险。你应当可以基于平台、软件、协议、漏洞类型和受影响的服务按风险等级和分类来过滤漏洞。
(5)资产组
资产应当可以按照技术属性进行分组,例如操作系统或用户定义的属性例如位置、所有者和重要性。解决方案应当可以基于新发现的资产和资产信息自动对分组进行更新,并且可以基于这些分组进行报告生成。
(6)数据库查询
有时你可能需要对资产和漏洞数据执行高级的分析。解决方案需要支持直接在系统中运行SQL查询并可以按照标准格式输出用来创建表、定制图表和图形的结果。
- 合规和配置评估
不安全的配置和遗漏的控制可能会导致风险,因此有些漏洞管理解决方案会提供配置、控制和策略合规的扫描功能。
(1)合规/基线评估
对于许多安全标准来讲漏洞评估是一个关键要求,通过定制扫描模板可以实现快速的进行各种合规/基线评估。
(2)配置评估
您需要确保您的系统安全地按照行业标准和最佳实际经验进行了配置,这在统一安全评估解决方案中是很关键的部分之一。配置和合规评估应该和漏洞扫描在同一个用户接口同时进行。另外,为了满足您特定的要求配置,配置策略应该是可以通过用户接口进行完全可定制的。
(3)控制评估
大部分的组织都会投入大量的时间和资源调整安全控制用来对抗所面对的威胁。评估这些安全控制的有效性很重要,要求这些评估是基于行业的最佳实践经验。漏洞管理解决方案应该可以评估这些安全控制的有效性。
- 管理
(1)基于角色的访问管理
在您的组织里不同的用户组可能需要不同的对扫描数据的访问级别。解决方案的基于角色的访问控制(RBACs)应该支持内嵌的角色,具有修改和增加新角色、资产组、报告和其他管理功能的能力。
(2)例外管理
您经常会遇到某些漏洞不能修复或者是对于业务来讲是可接受的风险。那么对于提交这些例外给上级进行审批的工作流就应该可以自动化完成,以便于审计和管理。您应该可以在实例、资产、扫描组或全局层面创建例外,并添加这个例外的原因。
(3)应用程序更新
定期的应用更新确保您能使用最新的功能和性能增强。您应该可以选择自动更新和手动更新。
(4)漏洞更新
为了能在第一时间掌握风险,要求漏洞管理系统能提供快速的更新。比如定期每月更新,或在重要漏洞出现后的72小时内进行更新,从而可以及时的进行漏洞检查。
- 集成
(1)虚拟和云环境
漏洞管理解决方案应该可以提供虚拟化机版本,或部署在云环境下,从而可以在虚拟环境中进行动态发现和评估虚拟资产。
(2)IT安全解决方案
漏洞管理系统应该内嵌和其他安全解决方案的集成能力,例如网络拓扑工具、IDS/IPS、ITGRC、SIEM系统。这些集成可以提供集成报表和管理能力,并提供相关信息从而可以提供报警的精确性,减少误判。
(3)定制集成
有时您可能需要开发新的系统进行集成或者增强现在的集成能力,漏洞管理系统应提供双向的API,将所有主要的功能都可以进行定制。
- 赞助本站
- 微信扫一扫
-
- 加入Q群
- QQ扫一扫
-
评论