漏洞管理工具的几点注意事项.docxVIP

PAGE 1 PAGE 1 漏洞管理工具的几点注意事项  用户应避免漏洞管理工具方面的常见错误，并且最充分地利用这种工具。本文介绍几点关于漏洞管理工具的留意事项，其中包括不要在补救方面偷工减料等。  　　用户应避免漏洞管理工具方面的常见错误，并且最充分地利用这种工具。  　　不要在补救方面偷工减料。  　　令人惊异的是，虽然很多企业会进行漏洞扫描，或者请人来进行扫描，但得到一份报告后，却没有积极跟进，采取进一步的行动。很多企业可能会选择一两个关键的扫描结果，却忽视了其余的扫描结果。这样做的结果是，虽然企业花了大量的时间和金钱，但是对于加强安全帮助很小。  　　弗雷斯特研究公司的首席分析师ChenxiWang说：“一些企业仅仅检测一下就完事了。检测结果只是告知你面临怎样的状况，但是对于降低安全风险帮助很小。”  　　必需结合一种明确定义的变更掌握流程，对漏洞和配置管理进行补救；这种流程应得到漏洞管理工具的支持，并与你的掌握机制（如故障单系统）紧密协作起来。漏洞管理工具不但应通过漏洞和错误检测来支持这种流程，还应通过基于安全威逼严重程序和高危系统价值的风险评估来支持它。只有重新进行了扫描，证明补救措施已发挥效果（也就是说补丁已成功打上，或配置错误已被纠正），整个过程才完成，故障单才可以关闭。  　　安全顾问ShaheenAbdulJabbar说：“一些企业特别积极主动，另一些企业却特别消极被动。我见过这样的事，安全工作人员进行了扫描，并将结果告知了IT部门，但没有回过头去，检查漏洞在下一次审查周期之前是不是已被补救。”  　　要使用扫描服务。  　　假如贵企业受制于要求定期请第三方扫描的监管法规，那你无论如何没得选择。这种状况下，不要仅仅局限于满意最低的监管要求。应将你的补救流程贯彻究竟——优秀的审查人员会要求这么做。  　　无论你在符合监管要求方面负怎样的义务，软件即服务（SaaS）和托管服务对漏洞管理来说都是切实可行的选择。几家知名服务供应商高度关注或者甚至完全关注服务，这让它们可以替代或补充内部扫描。从本质上来说，SaaS服务关注的是面向公众的系统；为了进行更全面的扫描，服务供应商会将黑盒子设备装在客户网络上，报告扫描结果。  　　一些企业有所顾虑，不允许扫描后收集而来的这一切数据与企业外面的人共享。你要确保，数据得到了强加密的保护（借助牢靠的密钥管理）；只有贵企业授权的人员才可以访问那些数据，服务供应商的任何员工都无权访问。  　　另外，确保认证扫描所需的身份凭证得到了严格保护，或借助服务供应商自身的技术，或借助优秀的特权身份管理产品。作为一项服务的漏洞管理可以节约资本开支、管理费用和人手。  　　此外，应考虑请来顾问或服务供应商（至少应定期这么做），以补充贵企业的内部扫描，起到查漏补缺的作用。请来公正的外人可防止任何内部人员的偏见，或者防止出现为保护自身利益而致使扫描报告内容不全的状况。  　　要坚持使用实用的报告。  　　这适用于多个层面。当然在最高层面，你需要趋势分析和整体状况报告，好拿给管理人员过目。在安全层面，漏洞管理工具应供应关于漏洞严重程度的信息，基于常见漏洞和披露（CVE）列表或通用漏洞评分系统（CVSS）这样的标准，并结合企业对于该资产的重视程度这个权重。报告应告知你什么是薄弱的，有多薄弱，风险又有多高。对于负责补救工作的人来说，操作报告应简明扼要、面向任务。  　　补丁和配置变更工作通常由网络操作人员和系统管理员来进行。他们并不是安全专业人员，所以应从补丁和配置变革方面，而不是从漏洞方面来描述报告和指示。  　　审查报告应清晰地表明：漏洞或配置错误已检测出来，风险已得到评估，故障单已开启，故障单在问题得到补救后已关闭，以及补救工作得到了最终扫描的验证。  　　最终，报告应当能够稍加改动同一部分数据，即可满意不同的需要——有的报告针对企业的不同部门和不同类型的受众，有的报告针对不同内容的监管法规，等等。  　　迈克菲公司主管风险和合规的高级集团经理GaryDavis说：“在过去，每次为了生成报告，你就得重新扫描一下；但实际上你需要的是扫描一次、生成多份报告的模式，那样用不着为了每次生成报告而需要扫描。”  　　要将漏洞管理工具与其他安全工具集成起来。  　　安全信息和事件管理（SIEM）是首要的安全工具。漏洞管理工具为作为整体风险管理计划一部分的SIEM供应了关键的信息来源。一旦某个漏洞或配置问题检测出来，相关信息就应当馈送给SIEM工具，与来自其他信息源（如防火墙和入侵防护系统）的信息关联起来。  　　漏洞管理工具还