第3步:验证漏洞
对清单
用户可以使用漏洞扫描的结果来验证漏洞是否匹配实际的设备、软件和网络中的配置。这一步的价值是最小化查找风险工作,找到不适用的网络配置。显然,这项任务最好是自动完成。智能扫描应用程序,如QualysGuard,旨在准确识别网络上与风险相关的设备和应用--消除“误报”和“漏报”的常见错误,避免在漏洞管理过程中的效率低下。
在扫描结果中搜寻
扫描结果需要被:
● 综合化;
● 具体化,尤其要有漏洞数据和补救说明;
● 避免扫描结果有过多的误报或漏报;
● 容易理解。
由于过滤了与清单不匹配的漏洞,漏洞扫描结果减少了一些误报。追击误报是浪费IT工作人员时间和进行漏洞管理的低效方式。同样地,当漏洞管理方案未能检测到网络中实际存在的漏洞时,可能会出现漏报。不知道相关的漏洞就把企业网络置于被黑客利用的风险之中。
良好扫描结果能提高胜算
业界和政府做了大量的工作,旨在收集关于网络漏洞的数据。企业选择的漏洞管理方案应纳入尽可能多的成果,尽可能吸取漏洞研究人员的集体智慧。我们来看看:
● 通用漏洞披露网站:;
● 美国国家标准和技术研究所(NIST)的国家漏洞数据库:。该NIST数据库把通用漏洞披露(CVE)带到更高水平:对每个漏洞有详细的信息;
● 系统管理、审计、网络、安全(SANS)的前20:
● 美国计算机应急准备小组(CERT)漏洞注释数据库:
● 一家特定漏洞管理厂商从自己正在研究和开发工作中收集的知识库。 选择的漏洞管理方案需要包括这样的功能:搜索特定类型设备上的漏洞,运行特定操作系统和特定应用。图2-5显示了一个被称为“纽约资产组”的搜索和在该组中,所有Linux主机上运行HTTP服务的IP地址。 图2-5:从一个自定义资产搜索的结果。 良好的扫描结果是准确、最新和简洁的漏洞信息,用户可以信任并应用企业网络上资产。 用技术来改进扫描 寻找操作系统(OS)中使用不同发现技术的扫描器,例如标志抓取和二进制抓取、操作系统特定协议、TCP/ IP协议栈指纹识别(判定操作系统被远程目标所使用)和被动技术,如数据包欺骗(用假的源IP地址隐瞒或伪造身份)。指纹识别意味着在请求注解(RFC)标准的实施中按细微变化仔细检查。服务发现引擎通过检查TCP和UDP服务检测后门程序、木马和蠕虫,包括TCP和UDP服务,包括那些在非默认端口和假标志检测。类似的发现过程是使用指纹HTTP应用程序,利用软件的版本ID、服务包ID和安装补丁。一个好的扫描器与OS和HTTP指纹检测相关,能快速找到真正的漏洞,并最大限度地减少误报。 第4步:风险的分类 一次工作而解决所有的问题是不可能的。事实上,在大型企业中,如果没有适当地分类、分割并以有意义的方式分级,漏洞的数量可能大的惊人。漏洞管理工作流程允许用户自动排列漏洞,定义可能影响关键系统的关键问题--一路找到可能影响不太重要设备的不太关键问题。简而言之,用户需要决定先解决哪些问题。 设计一个分类方案 用户可以设计一个自己的分类方案或采取其他来源的评定量表。比如,微软提出了四类风险,(见): ● 严重:被利用可能使互联网蠕虫无需用户操作就能传播; ● 重要:被利用可能会危害用户数据的机密性、完整性和可用性或处理资源的完整性或可用性; ● 警告:被利用是严重的,但可以通过一些因素缓解,如默认配置、审计、需要用户行动,或增加破坏难度。 ● 注意:被利用非常困难,或影响微乎其微。 扫描报告的元素 一个漏洞管理解决方案应该为每个检测到的漏洞自动分配一个类别和严重等级,诸如在图2-6中所示的扫描报告例子。该系统应指示漏洞、潜在漏洞和信息数据,如特殊设备上运行的服务。严重等级表明了漏洞带来的安全风险和它的难度等级。漏洞破坏的结果可以从主机信息披露到主机完全被控等不同等级。 图2-6:网络识别漏洞的扫描报告 第5步:预测试补丁,修补和解决方法 在软件厂商重写部分应用程序后,导致“治愈”的软件编译(或补丁)仍容易出其他错误。软件厂商往往被迫迅速发布一个补丁,而这个补丁可能会与网络上的其他应用冲突。因此,将其应用到真正系统之前,用户需要预先测试补丁。有些错误补丁在不经意间崩溃了业务流程。 预测试指南 按照下面这些提示进行预测试: ● 确保测试在企业的独特环境中进行。补丁的大多数问题是由于第三方应用修改了默认配置; ● 企业需要验证密码校验(冗余校验,以保持数据的完整性),非常好的隐私签名和数字证书能确认任何补丁的真实性。用户可以直接从厂商获得补丁进一步验证这一点; ● 检查补丁修补的漏洞,不会影响业务流程的应用和运行。 使用包括补丁说明的漏洞管理方案 选择一种全面的漏洞管理方案,包括为修补漏洞链接到推荐方案的信息,如从厂商得到补丁和解决方法。最好是,这些方案通过了漏洞管理方案提供者的测试和验证,可以节省用户的时间,并帮助用户进一步简化修复过程。图2-7显示了内置链接如何让用户点击一个特定的漏洞,并立即看到有关漏洞的背景技术细节以及如何修复它。 图2-7:点击链接到验证漏洞的解决方案。 第6步:应用补丁、修补和解决方法 发现和修复安全问题是漏洞管理的核心。传统的手工寻找漏洞并建议补丁和其他修复行动过于缓慢,容易出错,而且价格昂贵。有时,打补丁再加上大量厂商应用检测的高成本导致企业延迟修复。 企业可能会延迟更新-- 即使是关键补丁-- 直到进行多个补丁、服务包或每月,每季或每年定期的更新过程。 不幸的是,延迟可能是致命的策略,因为攻击者会很快发现潜在的威胁。缺陷与破坏之间的窗口在不断收缩。 修补指南 按照下面的这些提示来打补丁: ● 尽快修补漏洞和最小化风险-- 把关键系统的关键问题放在首位。 ● 自动补丁管理和软件分发方案能够帮助加快这一过程,并把成本降到最低。卷回功能可以把软件到恢复以前的状态,并确保企业有效地使用适当的软件版本。 ● 集成补丁与其他漏洞管理的自动过程是有益的。例如,有些软件提供了一键链接漏洞补丁、修复和解决方法。 内置故障标签 当用户开始检查漏洞报告时,下面的情况对漏洞管理系统非常有用,马上给用户指定一个故障标签 -- 一种跟踪系统问题–针对一种特殊漏洞,可以加速修复工作流程。 故障标签帮助企业-- 尤其是大型企业-- 自动分配和指定漏洞修复行动,指向某些个人或组。例如,用户可以把所有严重级Web服务器风险定向到webIT安全管理经理,把较低级的风险分配给其他人员。 故障标签分配的一个例子见图2-8。 图2-8:一键分配漏洞故障标签 确保企业的漏洞管理方案能让IT安全团队分析修复趋势,包括标签的“打开”和“关闭”状态(问题没解决和已解决)的长期趋势。这有利于进度跟踪,易于安全指标分析。图2-9显示了标签状态跟踪和报告的一个例子。 图2-9:故障标签工作流程的长期趋势。 第7步:验证补丁重新扫描 应用了补丁或者完成了修复过程后,一定要重新扫描IP连接的资产-- 尤其是重要的资产-- 如图2-10所示。此步骤验证了修复工作,使它不会导致其他网络设备、服务或应用发生故障或暴露其它的漏洞。 经营风险和安全风险是两项你可以用来排序修复工作的指标。例如,极有价值的资产可能具有更高的修复优先等级,即使在这些系统上检测到较低安全风险的漏洞。低优先级的资产(如托管服务器为公司提供午餐菜单)可能有严重漏洞,但业务风险(和修复漏洞的优先级)不会超过其更重要的关键业务系统。 图2-10:对关键资产的漏洞管理报告。 报告符合法律法规 有验证修复扫描结果的报告可提供充足的文件,审计检查是否符合法律法规的担保条款,如PCI DSS安全规定(支付卡行业数据安全标准),HIPAA(健康保险流通与责任法案),巴塞尔II,格雷姆--里奇-- 比利雷,以及萨班斯-- 奥克斯利法案。有些漏洞管理方案提供了为特定法规的自定义模板。图2-11显示了一个合规文件的例子。 图2-11:漏洞管理报告记录符合PCI DSS标准。 报告符合内部政策 用户漏洞管理方案需要提供创建自定义报告的功能,确认符合内部运营政策。有些软件自动创建许多符合法律法规的报告,并能提供简单的定制特性,用于记录遵守各种业务政策的行为,如图2-12。 图2-12:财务系统的安全合规报告。 选择漏洞管理方案的时间 在这一部分,用户要复审漏洞管理的步骤。现在是选择解决方案的时候了,这可以: ● 映射企业的网络和设备; ● 准确、高效地扫描潜在数量的漏洞; ● 明确和全面报告扫描结果; ● 指导修复过程; ● 测试并确认修复了漏洞; ● 自动生成准确、全面和详细的报告,验证是否符合内部政策和安全方面的法律法规。
