让我们先从一个案例说起。在某石油生产商的设在远程站点隔离区(De-Militarize Zone,DMZ)中,的系统服务器发出了警报陡然响起。分析师们在研究后得出结论说:,漏洞(vulnerability)扫描程序发现了重大的安全漏洞。IT组织部门在经过几个回合的电子邮件和电话交流后,在几分钟内就掌握了自己需要的信息。
当时的情况是这样的:出现漏洞问题的是报表转发系统,那些被转发的报表在转发之前将会接受用其他程序的方法复核。该系统没有包含过分敏感的信息,而且相对孤立,并未与任何重要的业务流程捆绑,所以其漏洞不会影响到邻近系统。由于该系统位于远程站点,要为该系统打补丁得派一位IT人员乘飞机专程跑一趟。该这家石油公司认为,派专人一位IT管理员专程去打补丁不仅麻烦,从费用上说也不合算。因此IT部门组织的解决方案是:将此次漏洞警报记录下来,在进度计划中预定下次IT人员对远程站点进行日常维护时,再让人顺便解决这个问题。
从这件事案例中,我们所得到的结论是教训:为了实现有效的漏洞管理,IT组织部门必须在考虑商业价值的前提下,合理运用风险管理原则和逻辑。
如今的系统漏洞可谓是层出不穷五花八门,令人防不胜防,比如企业自行开发的应用程序所包含的漏洞,基础设施中存在的缺陷(如安全保护措施不够完备的无线网络)以及还有以桌面终端用户为目标的网络攻击手段等等。如今现在的网络犯罪手段已经从唠唠叨叨、技术落后的网络“蠕虫”(worms)进化到了无影无形、技术先进、目标明确的恶意软件(malware)。
IT组织部门必须与业务单位通力合作,将企业的安全漏洞控制在可接受的风险容忍程度以内,创建将企业计算环境(computing environment)作为整体来处理的业务流程,并且选择合适的技术平台来支持这些流程。
有效的流程
有效的漏洞管理程序必须合理地对技术、商业智能和流程进行平衡。
必要的技术包括漏洞扫描软件,如迈克菲公司(McAfee)的FoundScan软件、夸利斯公司(Qualys)的QualysScan软件或泰纳宝网络安全公司(Tenable Network Security)的Nessus软件;应用程序扫描软件,如惠普公司(Hewlett-Packard)的WebInspect软件和国际商业机器公司(IBM)公司的AppScan软件;以及还有配置和补丁管理工具。然而,如果没有几个重要的漏洞管理流程领军的话,这些工具只是游兵散勇,起不了太大作用。
维护网络安全的一个重要流程是减少受攻击面(attack surface),也就是说减少企业IT系统暴露在外的部分。受攻击面这个术语既可以指的是应用程序或系统整体在容易受到各种途径的攻击面前所暴露的风险程度,也可以指系统作为整体容易受到攻击。企业经常综合使用网络设计演习(network design exercise)习惯做法、访问管理(access management)和配置管理等几大手段来以减少受攻击面。比如说例如,为了减少某系统的受攻击面,可以只将那些必需的服务暴露在网络上暴露,此外禁用或删除不必要的软件,以及并限制经授权可登录系统的用户数量。
有效的漏洞管理计划还能帮助对企业改善整体的安全状况和风险承受能力的管理助一臂之力。通过对漏洞和事故数据的汇总整理,IT部门组织可以提高系统的安全性。通过数据中显示的趋势和相关性,便可以了解显示内部活动和外部事件是如何影响企业风险状况的。这种数据分析有助于评估实施的项目(如打补丁和系统维护)究竟起了多大作用,同时确定哪些领域还需要更多投入。
漏洞管理计划的另一个好处,是能帮助企业达成合规任务。各种技术标准、业务框架、法规(如萨班斯•奥克斯利法案(Sarbanes-Oxley))及针对特定行业的框架(如健康保险流通与责任法案(HIPAA)和污染控制指数(Pollution Control Index,PCI))等,都推动了企业实施加强控制并对提交有关管理实施成果的提交报告。有效的漏洞管理计划不仅可以帮助企业证明自己通过实施有效的控制措施满足了合规要求,还能在出现合规问题时及时为提醒管理层敲响警钟注意。在成熟的漏洞管理程序中,各种的工具和数据相关性能够提取多样化的各种统计信息(如缺省密码长度、过期时限及复杂度要求等),并将这些信息整合纳入到合规报告中。
然而,我们观察到,虽然一些IT组织企业在安全工具和扫描软件的全面部署上砸下了很多钱,但似曾相识的糟糕结果IT团队还是月复一月、年复一年地不断看到重现似曾相识的糟糕结果。每个月打补丁的做法无疑是杯水车薪,远不能从根本上解决问题,但就目前而言饮鸩止渴,但这也是一种不是办法的办法种做法还是必要的,而且在短期内它还是很有必要的不会消失。不过,然而大多数企业时常在自行开发的应用程序中发现问题,有时补丁过期了30天还没及时打上,有时而使用的设备也不符合规定的标准。很多失败的根源是系统性问题,要判断某个漏洞管理计划是否有效,关键是看它能不能追本溯源处理好根本问题。
那么,我们要怎样做才能打破费时费力却徒劳无功的宿命呢?有以下便是至关重要的几个步骤至关重要。
第1步:对收集的数据进行整合
漏洞管理程序的有效性很大程度上不仅取决于所使用的技术,还取决于各组件的整合程度。漏洞识别系统(如漏洞扫描软件,、系统策略及设备配置审计工具等)为数据收集提供了基础工具,但将收集到的数据与变更管理软件紧密地整合到一起也是必要的。
配置管理、补丁管理以及身份和访问管理工具不仅可以将系统维护流程自动化,同时还能让人们实时监控系统和设备状态。将这些产品和漏洞识别工具整合到一起,企业便可以对整体环境的漏洞和风险有一个全面的了解。不过,说归说,要将系统维护工具和漏洞识别系统整合起来谈何容易。
整合工作的关键,是要确定哪些因素对漏洞管理计划至关重要。我们建议采用自上而下的办法。企业应该将列出一个实际使用的系统和数据的列出清单。关键的利益相关者应当该查看对系统状态进行审查,并评估IT组织部署变更的业务能力,并且为了实现更高的安全水准提出更高层次的问题。比如说,企业我们在某个特定区域部署了多少Windows系统?我们Apache系统的漏洞出在什么地方?当IT团队回答诸如此类的问题时,他们应该收集其他到必要的相关信息。如果在欧洲有100个Windows系统,那么知道这个信息足够了吗?我还需要知道MAC地址或者资产所有者吗?
只有这些问题得到解答后,才可以考虑采用其他附加技术。
第2步:制定优先级
在IT组织中,优先级始终是至关重要的的重要性显而易见,但往往只有真正出现问题了,可是它才会引起人们的只有在困难时期才会引起人们的重视。毫无疑问很明显,在部署漏洞管理的时候,人们必须能够很容易地排列优先级的排列必须一目了然。这通常意味着建立对资产进行分组,组合(groups of assets)以提高数据收集效率,;或是者建立对责任人进行分组所有者组合(groups of owners),以便使报表报告更具相关性和可操作性。各组合通常是根据区域、职能或技术等来归类的。在确定安全状况时,资产分组合应该与业务功能保持一致。各组合必须规模合适当,易于管理,同时责任明确。
在减少受攻击面的问题上,分组的责任人应所有权组合(ownership groups)包括IT经理、数据中心所有者负责人以及其他负责维护系统安全和完整性的IT人员。在处理企业范围内的安全问题时,所有权群体责任人通常包括安全组织的成员、内部审计员以及业务单位。以合规为导向的所有权组合责任人应当配合那些专门负责合规执行和报告的人员。
第3步:不断完善
要想持续地完善系统实现不断完善的目标,企业必须人们得了解单个因素如何影响漏洞管理程序目标的实现。上下表列出了七7个相关因素与漏洞管理目标相关的因素的关联方式。
在确定安全状况或合规水平时,高质量的数据至关重要。如果说明明有漏洞却错过不报会制造成虚假安全感的话,那么低质量数据却就可能会导致误报(false positives),也就是说明明不存在漏洞却声称发出警报存在。当减少受攻击面成为当务之急时,IT部门组织应该经常收集数据,但数据采集的频率在确定安全状况时,就却不那么重要必那么频繁地收集数据了。为满足合规要求而进行的数据收集采集,其频率频繁程度应遵循具体的合规要求。
了解趋势对要了理解安全状况、漏洞削减项目的成效以及与合规相关的活动,就应当对趋势有所掌握非常有用。趋势信息可以显示IT组织的风险状况如何随时间的推移而变化,外部事件(如漏洞和补丁发布)如何影响企业的安全状况。(译/蔡晶)
衡量成效:前方之路
IT部门组织如何如果想在让漏洞管理项目上不断地取得成功,以下四大原则必须时刻牢记在心。
来源:信息周刊