漏洞管理一：了解漏洞管理的需求

　　对于网络罪犯，网络上的漏洞是一种隐藏、高价值的资产。当被公开时，这些漏洞可被针对性地利用，可能会导致非授权侵入，暴露机密信息，为窃取身份、盗窃商业秘密、违反隐私法律法规或瘫痪业务运营提供燃料。

　　由于软件缺陷、应用和IT设备的错误配置，以及常规的错误，每天都会有新的漏洞出现。无论起源来自哪里，漏洞不会自己消失。因此，对他们的检测、清除和控制要求进行漏洞管理。漏洞管理意味着对漏洞进行管制，连续地使用专用安全工具和工作流程，积极帮助用户消除被利用的风险。

　　谁有危险?

　　每个企业都要面临维持一个安全、开放和互联网络的挑战--易于与遍及世界各地的客户、供应商和业务合作伙伴交换信息。

　　不幸的是，使这些信息即可用又安全是一件非常困难的工作。蠕虫、病毒和其他安全问题会不断形成信息被盗和业务中断的威胁。更多的，每天出现新漏洞和新威胁的速度在急剧增加--这使挑战变得更加严峻。

　　由于漏洞的出现，与互联网连接的每项业务都存在风险。无论是中小企业，还是跨国公司或是政府机构–基本没有什么区别，都处于危险之中。

　　解决的方案是通过消除他们的起源，减小网络漏洞对网络的安全威胁。

　　漏洞如何使网络处于危险

　　早在计算机的初期，漏洞就一直困扰着操作系统和应用软件。他们曾经是罕见的，但现在通过互联网，几乎每天都能看到攻击的案例。这一全球性途径为黑客和犯罪分子提供了方便的连接，使他们能容易地访问用户的网络和计算资源。当用户的网络连接设备没有安全更新时，这些未打补丁的设备很容易受到各种漏洞攻击。如果这些漏洞不能确认并修复，各种业务都会受到影响。

　　漏洞从哪里来?

　　编程错误导致了软件中大多数的漏洞。一种常见的​​错误是未能检查数据缓冲区的大小-- 一种记忆储存箱，一台计算机要在那里执行相关功能。当一个缓冲区溢出时，会导致把数据写到相邻的缓冲区。这会破坏堆栈或内存堆区，这可能被病毒、蠕虫或其他内容所利用，允许攻击者的代码执行。

　　计算机科学家估计，在每千行软件代码中大约会出现5〜20个错误(臭虫)，所以看到定期公布的新漏洞与相关补丁和解决方法就不足为奇。漏洞的危险与通用的软件一起成长，特别是实施者插入了面向对象编程代码的未测试模块。当代码的质量稍差、不好或仅为简单错误时，专家称之为“非稳健”状态。放置在公共领域的代码模块可能包括了因特网协议标准非稳健实现，在真实世界的网络中使用时，这些模块容易成为攻击的目标。

　　漏洞必须定期地确定并消除，因为每天都会发现新漏洞。例如，微软在每月的第二个星期二都会发布公告和补丁程序-- 通常被称为“补丁星期二”。

　　粗心的程序员不是漏洞的唯一来源。例如，配置不当的安全应用，如防火墙;可能的攻击者，如漏网之鱼溜过应关闭的端口;使用移动设备的人员可以使用未授权或甚至是恶意软件感染的网站，无需通过企业的虚拟专用网(VPN);也许认为官方VPN是一种麻烦，人们想要浏览京东、易趣或是本地的在线个人广告。

　　让安全警卫就这样倒下，等于把设备和网络暴露在攻击之下。我们甚至在点击受恶意件感染的电子邮件附件时就触发了一次攻击。

　　利用因特网的漏洞是一个巨大的问题，需要进行主动地控制和管理。这就是为什么企业需要使用漏洞管理-- 检测和消除漏洞，降低整体安全危险，防止机密泄露。

　　仔细查看攻击的趋势

　　在泄露消息中，揭示了全球数以百万计的保密消费记录无情曝光。这足以说明了为什么企业必须要更多的保护网络免受攻击。但在安全威胁领域中，重大的变化是提高门槛，大型和小型企业都要积极尽量减少对漏洞的攻击。

　　最近的数据显示，利用漏洞不再仅限于普通病毒、蠕虫、木马和其它单矢量攻击等传统危险。根据赛门铁克公司进行的全球调查，威胁已经“离开了滋扰和破坏性攻击，朝着获取经济利益为目的”。该报告刻画了五种新趋势(有兴趣请在阅读详情)，包括：

　　● 恶意活动的专业水平和商业化;

　　● 对特定地区越来越多的专门威胁;

　　● 多级攻击的数量增加;

　　● 攻击者首先利用可信实体瞄准受害者;

　　● 攻击方法的融合。

　　受访者对计算机安全研究所的计算机犯罪和安全调查报告说，金融诈骗造成了最大的财务损失(占总数的31%)，比较于病毒/蠕虫/间谍软件(12%)，外人的系统渗透(10%)，或窃取机密数据(8%)。从12年系列计算机犯罪报告中(请见)，可了解更多信息。

　　网络攻击的后果会构成了严重的金融风险，因此企业需要通过部署多层安全技术，如防病毒/反间谍软件、防火墙、入侵检测/防御、VPN和加密，阻止恶意件和其他攻击。这样的技术是网络安全的必要组件，在企业的目的领域中非常有效，但还没有进行最基本的安全措施：漏洞管理。

　　检测和删除漏洞

　　漏洞管理已经从运行简单的扫描器开始演变，对应用、计算机或网络来检测常见弱点。扫描是漏洞管理的一个必要元件，但漏洞管理还包括其他技术和工作流程，为控制和消除漏洞贡献了需要的大局观。漏洞管理的主要目标是：

　　● 识别并修复软件的错误，不影响安全、性能或功能;

　　● 改变功能或应对新的安全威胁，如更新防病毒特征;

　　● 更改软件配置，使其不易受攻击，运行更快或改进功能;

　　● 使用最有效的手段阻止自动攻击(如蠕虫，僵尸网络等);

　　● 启用对安全危险的有效改进和管理;

　　● 为审计和遵守法律、法规和业务策略记录安全状态。

　　如果仅用人工方式去做，一贯、持续的漏洞管理是很难的。企业应使用及时和高性价比的方式采取行动。对所有设备定期的重复工作要大量消耗时间–并低效使用IT和网络人员的时间。为此，企业需要更多的自动化和简单化工作，实施到漏洞管理的每个元件，这些内容我们将在第二部分讨论。

　　组织起来实施漏洞管理

　　当企业准备实施漏洞管理时，一定要把安全放在最优先的位置。这一步的时髦名词是策略管理。策略管理决定了确保安全的控制要求，如为所有安全设备和应用，包括防病毒、防火墙和入侵检测/防御的标准配置。策略和控制应包括服务器、网络服务、应用和端点。

　　策略管理过去采用的是手动、繁琐的过程。新软件工具可以进行自动策略管理和执行对端点设备的配置。自动化节省了时间，提高了准确度，并降低了拥有总成本。

　　遵从法规

　　漏洞管理可以自动记录是否遵从法规。漏洞管理的一个主要收益是漏洞管理软件提供内置的报告。其中一些报告可作为审计检查合规的文件。

　　在金融交易、医疗健康和许多自动化解决方案中的安全要求不断增长。

　　为电子数据的保密性、完整性和可用性，防止信息安全漏洞，合法的网络安全需求出现在越来越多的政府和行业的特定法规中。组织机构不完全符合并遵循最新的安全法规，将面临严重的潜在后果-- 包括罚款和民事(有时是犯罪)惩罚。第三部分将给你介绍更多关于漏洞管理和法规遵从。

　　读者在本文中可了解很多关于漏洞管理的知识，但在脑海里要记住相关的法规遵从-- 尤其这涉及到公司的法规。该法规可以用于某些漏洞管理相关的流程或技术。漏洞管理相关技术提供的报告，比如那些来自扫描和补丁管理系统。网络和IT部门使用这些报告来记录网络安全审计和整治，包括涉及到危险严重的漏洞细接、优先列表，并核实用补丁或解决方法修复的漏洞。

　　合规最重要的理念是漏洞管理可以自动做很多事情，这些事情曾经是昂贵、耗时的手动流程。获得正确的漏洞管理解决方案不仅能保护你的网络和数据-- 通过漏洞管理自动化，它也可以节省你的费用，任何企业都可以轻松地使用自动漏洞管理。