漏洞管理四：按需进行漏洞管理

　　有的漏洞管理软件提供了随需而用的漏洞管理方案。这对网络安全与合规管理是极其重要的。面对网络恶意入侵的趋势，催生了很多创新的网络安全解决方案。几乎所有的业内分析都认为：网络安全应该是一个多种、多层防护的产品–包括病毒检测、防火墙和漏洞管理。多数分析师也认为：漏洞管理是一种关键干预，没有它病毒检测和防火墙可能只是一种安全错觉。

　　探索按需的漏洞管理

　　按需软件即服务(SaaS)的漏洞管理涉及一家值得信赖的第三方，而不是基于软件获取、安装、支持和维护的方案。有些软件可以是随需而用、基于服务的漏洞管理方案。

　　业内专家定义的漏洞管理包括下列条件。

　　漏洞管理应该：

　　● 能够识别外围和内部的弱点;

　　● 用不断更新的数据库自动扫描已知的攻击;

　　● 是高度精确的，可从根本上消除误报和漏报–并且是非侵入性的。

　　● 使用基于推理的扫描，确保每次扫描仅检测有威胁的漏洞;

　　● 生成简洁、可操作、可定制的报告，包括有严重程度和趋势分析的漏洞排序;

　　● 对现在没有补救办法的情况，提供已测试的补救措施和工作办法;

　　● 提供具有综合报告和集中管理的分布式扫描功能;

　　● 提供可信(基于证书)和基于简单密码授权技术的扫描;

　　● 提供用户访问管理，按在企业和网络中的责任，限制用户角色和权限的功能;

　　● 按排序和跟踪修复工作提供工作流程的能力;

　　● 启用客户可定制的合规报告;

　　● 无缝集成客户的安全信息管理(SIM)、入侵检测系统(IDS)、补丁管理和帮助桌面系统。

　　还有很多的要求，但漏洞管理软件必须满足每个人能用SaaS架构及易用的用户界面。

　　访问漏洞管理软件

　　用户访问漏洞管理软件，只需通过浏览器登录。通过授权，访问基于Web服务的交付架构，用户可以立即使用该服务，审计企业外部和内部网络的安全性。漏洞管理服务是全天候、面向全球所有的订阅用户而进行的。

　　使用漏洞管理软件，用户可以安排扫描自动进行，包括选择扫描目标、开始时间、持续时间和服务频率。

　　漏洞管理软件的特性提供了广泛查找和消除网络安全漏洞的功能。包括：

　　● 发现连接到企业网络的所有系统;

　　● 识别并分析所有已发现系统的漏洞;

　　● 发现结果和漏洞分析报告;

　　● 引导漏洞修复过程;

　　● 确认已实施修复工作;

　　● 提供文档验证安全合规。

　　漏洞管理软件架构(见图4-1)的元素包括知识库、安全运营中心、因特网扫描器、扫描器设备，以及安全浏览器界面，关于浏览器界面我们会在下面的部分解释。

　　知识库

　　漏洞管理软件的核心是它的知识库。知识库包含了智能，增强了漏洞管理服务的能力。它每天都更新新漏洞特征、验证的补丁、改正的误报和其他数据，不断地改进其有效性。

　　安全运营中心

　　知识库常驻于安全运营中心(SOC)内，安全运营中心提供了对漏洞数据的安全存储和处理，使用负载均衡应用服务器的n层架构。这种计算机结构只需通过添加更多的服务器就能扩大处理能力，以满足客户的需求。所有计算机和机架设备与其他系统是隔离的。

　　图4-1：QualysGuard的SaaS架构。

　　因特网扫描器

　　因特网扫描器为客户执行周边扫描。这些远程扫描器由经历审计每台机器发现协议建立的清单开始。在发现这些协议后，扫描仪检测哪个端口连接到服务，诸如Web服务器、数据库和电子邮件服务器。在这个点，扫描器启动基于推理的漏洞评估，基于可能确实存在(和操作系统和配置相关)的漏洞，快速识别真的漏洞，并最小化误报。

　　扫描仪设备

　　扫描仪设备由客户来安装，设置映射域并扫描防火墙后面的IP设备。这是一种外挂设备，可在几分钟内完成安装，收集防火墙内部的安全审计数据，并安全地提供给安全运营中心。这些设备使用强化的操作系统内核，可防止任何袭击。此外，它们不包含任何暴露于网络中的服务或后台程序(后台软件进程)。这些设备轮询安全运营中心(SOC)，传送软件更新和新漏洞特征，并处理请求的作业。

　　安全Web界面

　　用户通过安全Web界面进行交互。任何标准的Web浏览器都可浏览门户界面，用户可以启动扫描、检查审计报告和管理账户。通信使用安全超文本传输协议HTTPS(使用安全套接字层第3版SSLv3)加密确保安全。所有漏洞信息以及报告数据，用唯一的用户密钥进行加密，全部信息的保密性，并使没有授权的客户无法读取。

　　排序修复指南，加快员工跟进

　　漏洞管理软件提供了类似于由支持呼叫中心创建故障修复工单的能力。作为安全管理人员，用户可以控制这些工单的优先级，并自动分配修复它们的负责人。在创建工单后，随后的扫描要跟踪所有的修复变化。这些流程的自动化可以大大加快漏洞的修复。

　　使用扫描引擎可以让报告自动识别和排序漏洞，分配成五个级别，且定义了每个漏洞修补的紧迫性。排序按照各种行业标准，如通用漏洞披露(CVE)和国家标准技术研究所(NIST)的标准。这些级别是：

　　● 1级(最低)：可收集的信息;

　　● 2级(中等)：可收集的敏感信息，如运行在目标机器上的软件精确版本和发行号;

　　● 3级(重要)：可探测的威胁指标，如目录浏览、拒绝服务，或文件的部分读取。

　　● 4级(严重)：发现红色标志指标，如在目标计算机上存在：文件被盗、潜在后门，或可读的用户列表。

　　● 5级(紧急)：检测到后门软件，或读写访问文件、远程执行，或存在其他活动。

　　每个漏洞的详细信息都在报告中显示，如图4-2所示。

　　图4-2：漏洞报告。

　　该软件还提供了一个执行报告，总结了修复所有漏洞的状态。

　　自动生成合规文件

　　不同区域的方案是不同的，因此，漏洞管理需要灵活、全面和智能的报告功能。多数方案生成的是死板的报告，只反映一对一的情况，不能对收集的数据进行处理。很少，如果有的话，只有过滤、重组或把数据合成为更高级信息抽象等机制。然而，QualysGuard报告有如优质的商业智能报告–具有筛选和排序，使用户可以按照自己想要的任何方式来观看数据。

　　智能报告的组成部分是：

　　● 网络资产(IP和/或资产组)包括在报告中;

　　● 图形和图表呈现全面的概览和网络安全状态;

　　● 为给定网络进行趋势分析;

　　● 有详细特性的漏洞数据;

　　● 过滤和排序选项，提供多种灵活的方式来观看网络的数据。

　　仪表板提供了网络整体安全位置瞬间一页的快照，如图4-3所示。

　　图4-3：仪表板。

　　仪表板是一个门户网站，描述漏洞管理流程每个方面更详细的报告。该门户提供了一系列报告模板，自动呈现漏洞管理数据和综合信息，漏洞修复的IT组织通常需要这些信息。用户可以轻松地自定义模板，显示专门的报告、格式(如HTML，XML，PDF)，并发送给相关的工作人员、管理人员和审计人员。

　　例如，定制模板自动生成报表：

　　● 存在最严重高级别的未修复漏洞;

　　● 网络上发现了非法设备;

　　● 技术符合特定的法规，如支付卡行业数据安全标准(PCI DSS)，健康保险流通与责任法案(HIPAA)，格雷姆-- 里奇-- 比利雷，或萨班斯-- 奥克斯利法案;

　　● 特定部门或业务流程故障工单的状态，如财务报告系统或订单处理系统;

　　● 为网络安全人员的工作绩效评估使用的趋势分析。

　　保持低成本

　　软件自动化比起手动执行漏洞管理，为小企业和大型跨国公司节省了大量时间，具有很好的性价比。软件的安全架构要每日更新，执行新漏洞审计;季度更新，实现产品的新功能。所有更新都能无缝连接用户。经营成本由供应商承担，并在一个大用户群中分发。这让用户从立即部署漏洞管理的能力中受益，比使用内部的、基于软件方案的成本要低得多。

　　按需审计与昂贵的渗透测试

　　正如第三部分的描述，渗透测试是一个术语，由外部顾问进行网络安全审计，包括模拟恶意用户的攻击。从基本上说，就是“攻击者”试图找出漏洞，并利用它们。

　　虽然渗透测试在单个时间点上捕获了一些漏洞信息，但保质期是短暂的，结果只在环境不变化，或没有新威胁出现时是有效的。总之，渗透测试总是不全面的，有效期仅为几个小时。随着网络管理员经常重新配置网络和设备，漏洞以每周25个以上的速度出现，网络安全需要频繁、持续的评估。

　　按需安全审计是补充或替代渗透测试的理想方式。这种方式为用户提供了无限的评估–即使每天都需要–也仅为渗透测试的很小一部分成本。还自动包含了定制报告和趋势分析，这样用户可以随时衡量自己的安全改进。

　　计算用户的收益

　　漏洞管理软件应该在不同的规模和不同的网络上有效运行。它应是可扩展、性价比高的Web服务，能在防火墙的内部和外部提供主动的按需安全审计。

　　漏洞管理软件应能够完全控制安全审计和漏洞管理流程，包括：

　　● 易于部署的SaaS架构;

　　● 无论企业的网络有多大，都有轻松管理漏洞的能力;

　　● 全自动化方案，消除了传统的劳动密集型操作，节省时间和简化大规模的漏洞管理;

　　● 网络资产的快速识别和可视化;

　　● 精确的漏洞检测，消除了费时的验证结果和整合数据的手工工作;

　　● 授权用户可在全球任何地方访问漏洞管理服务。

　　漏洞管理的免费试用与四步计划

　　现在，读者已经熟悉了漏洞管理的基本知识，到可以做真事的时候了。读者可以免费进行两周的实验。需要用的仅是浏览器。请到并开始!

　　注册后，读者会收到一封电子邮件，安全链接到读者的用户名、密码和初始登录URL。检查了条款和条件后，读者会看到一个欢迎屏幕，就像图4-4所示。

　　图4-4：QualysGuard的欢迎屏幕。

　　欢迎窗口将引导读者完成必要的漏洞管理步骤，审核读者的外部网络(周长)。为了使用QualysGuard，读者需要进行一个简单的设置。在第一次通过后，保持它的简单，并输入读者的网络顶级域ID。之后，读者可以尝试域、资产组，以及相关业务单元，体验QualysGuard的全部功能。

　　第1步：映射网络

　　当读者设置了QualysGuard后，到称为映射的部分，单击“启动映射”并应用!这时会自动分析读者的网络并生成数据，包含了读者设置的IP地址或IP范围内的所有连接设备。

　　第2步：扫描网络

　　创建映射后，读者可以扫描整个网络的所有​​设备或这些设备的指定子集。为了做这件事，到称为扫描的部分，点击“开始扫描”，并开始做!

　　第3步：读扫描报告

　　报告是QualysGuard的关键交付--并且是行业中最好和最全面的。为了能自动生成报告，到称为报告的部分。首先告诉QualysGuard读者想要什么样的扫描和映射报告。接下来，单击“运行报告”。就可以了。

　　步骤4：修补风险

　　这是读者工作开始的地方，因为读者需要修复检测到的问题。不要担心，QualysGuard可以指导读者完成修复过程。QualysGuard能告诉读者有关的漏洞，还能提供链接到修复补丁和修复方法。根据业务的优先级和严重程度，它会告诉读者先解决什么问题。然后，通过重新扫描，QualysGuard可以验证这些漏洞都得到了妥善修复。

　　定期地使用QualysGuard可以确保用户的网络、应用和数据最大限度的安全。当读者熟悉了QualysGuard易于使用的界面，读者可能想要探索生成各种报告，并试图开发QualysGuard更全面的功能。

　　恭喜!读者现在就可以享受漏洞管理带来的数据安全、保护网络的巨大收益!