用户可以使用这章内容作为漏洞管理的十点检查表。这些最佳实践反映了各种安全措施要求,有效识别网络上的漏洞并消除这些薄弱环节。该检查表是一种积极计划,在攻击者利用用户的网络之前,删除关键资源中的漏洞。
一、发现网络资产
如果用户不知道自己的网络上有什么,就无法衡量风险。发现用户的资产可以帮助用户确定最容易被攻击的地方。网络映射自动检测所有的连网设备。漏洞管理给了用户在全球范围做全网络资产发现的能力。
二、分类资产
多数企业有5到20大类的网络资产,分类按照对整体业务的价值确定。资产对业务的价值构成层次结构。例如,用户可以把关键数据库、财务系统和重要业务资产放在较高的类别,高于文书台式机、非生产服务器和远程笔记本电脑。应按商业价值对资产进行优先级分类,由于对他们安全性的假定,不要给关键资产较低的类别。
三、检查内部和外部的隔离区(DMZ)
用户要对网络进行全面的审计。那么,要在企业的“隔离区”(DMZ或外部网络边界)和内部系统执行漏洞管理。这是实现最佳安全保护的唯一途径。黑客的攻击是狡猾的,可以以其他方式攻破用户的网络,所以要确保企业的守卫和检查涵盖了一切。
四、进行全面扫描
对企业的资产进行全面的、准确的扫描,从最重要的资产开始。这样做可以让企业对资产的相关风险水平有全面了解。智能扫描能在网络上快速找到漏洞-- 自动或按需。用户可以较少地扫描较低类别的资产。
五、生成技术人员报告
漏洞报告必须是全面的,如何修补漏洞应有完整的说明。定制报告是非常有用的,在需要的情况下,使技术人员能够观看数据,同时减少信息过载。
六、生成管理报表
使用来自扫描收集的度量数据,把网络安全的状态传送给高层管理人员,使他们能够了解漏洞的趋势,安全团队的努力能使企业的风险最小化。使用实际性能测量来教育企业的高层管理团队,并在保持业务连续性、降低风险和维持安全基础架构中表现漏洞管理的价值。
七、排序修补工作
补丁排序开始于重要资产的关键漏洞,然后进行不太重要的资产。获得习惯设定(和超越!)的性能目标,减少网络中的关键漏洞的数量。
八、跟踪修复进展
自动生成的故障清单使用户能够跟踪修复的每一步,并测量随时间的进展。如果用户是一个很大的企业,使用工单系统可加速修复。这也节省了用户的时间,使用户能够比较分布式团队的表现,提供认可的领导者和追随者。同伴的压力能鼓励安全团队分享行动的体验,导致更迅速地减少漏洞。
九、生成合规报告
漏洞管理交付了可信的第三方审计和报告,满足HIPAA、GLBA、SB 1386、萨班斯– 奥克斯利法案、巴塞尔II和PCI DSS的合规需求。用户可以使用来自漏洞管理方案的报告,记录系统随时间推移安全状态的合规性。
十、定期重复漏洞管理过程
漏洞管理不是一次性工作。漏洞管理的最佳实践建议定期、持续地扫描和修复,主动防范内部和外部威胁,并确保合规。扫描关键系统至少每周一次,不太重要的资产两周一次。微软的补丁星期二(每月的第二个星期二)是一个很好的提醒,可以用来运行整个系统的漏洞管理审计,发现最新的漏洞。
附:案例分析
1. 易趣(eBay)
行业:技术;
总部:美国加利福尼亚州圣何塞;
地点:全球;
主要品牌:易趣,Skype和贝宝,,;
员工人数:13000+;
年收入:$59+亿;
股票代码:EBAY(NASD)。
“QualysGuard使我们审计网络的工作更加容易。我们以前必须通过挖掘结果,并需要做很多的人工分析来获得有意义的报告,而这些又是不一致的。Qualys解决了这个问题。”
-- 高级经理,信息安全
目标:
● 可靠地识别全球网络的安全漏洞;
● 审计业务合作伙伴的网络安全,并帮助这些合作伙伴快速修补漏洞并消除隐患;
● 部署自动化解决方案,找到最新的漏洞,不需要连续和费时的工作人员研究;
● 为高级管理人员随时提供审计和审查安全状态的能力。
结果:
● 经过周密的市场评价,易趣选择了QualysGuard进行网络边界扫描和在企业防火墙内网络以及合作伙伴网络审计漏洞;
● 现在,易趣有一个默认的漏洞管理标准,在整个eBay和合作伙伴网络评估安全性;
● 简化的报告使高级管理人员能简明、实时地查看公司的安全风险。当他们实施安全措施时,QualysGuard使易趣的高管能够测量这些风险变化。
2.吉力贝利
行业:制造业;
总部:费尔菲尔德,加利福尼亚州;
地点:全球;
员工:670+。
“我们不希望维持这种类型软件的麻烦。这相当于拱手让QualysGuard获益。因为我们安装了QualysGuard,我们还没有遇到任何成功的攻击。”
-- 网络管理员和安全专家
目标:
● 由于吉力贝利内部有很多的Web操作,该公司寻求一种方法来提高网络的安全性,保护其电子商务。这就要求其小型IT部门能够进行及时和全面地进行安全分析、扫描和修复。
结果:
● QualysGuard为所有吉力贝利的外向服务器和IT设备,包括路由器、防火墙、网站和电子邮件提供漏洞和风险管理监视;
● 使用了QualysGuard解决方案,吉利贝利不需要专门的工作人员查找新漏洞,只要按需更新即可。
3.五三银行(FIFTH THIRD BANK)
行业:金融服务;
总部:美国俄亥俄州辛辛那提;
业务范围:多元化的金融服务公司;
地点:运营18子公司,遍布美国的1167全方位服务银行中心;
员工数:21,000+;
年收入:$85+亿;
总资产:$2200亿的管理资产。
“这不是关于安全日审计显示。这是关于每月、每周、每日和每小时的安全与合规。QualysGuard帮助我们实现并证明了安全与合规的连续水平。”
-- 信息安全漏洞管理团队经理
目标:
● 五三银行的漏洞管理团队,致力于保持5000台服务器和30000台桌面计算机的安全,需要远离基于手工的扫描器,它只允许团队运行特别的扫描,解决银行缺乏随时间集中管理漏洞数据或趋势的能力。
● 该组织希望获得更准确的扫描结果,和由业务部门、系统平台和任何其他方式需要的组织数据。
结果:
● 五三银行已经部署20台QualysGuard设备,连续对整个银行的基础设施自动审计,特定的IP地址超过了30,000个;
● 通过QualysGuard的能力分配了高度特定的资产标签(基于业务目标量化的资产价值),银行现在可以按需以任何方式检查并报告漏洞信息。银行可以按照机器类型、业务部门和许多其他方式分解它的报告;
● 五三银行通过使用QualysGuard的API提高了效率,自动分发报告给所有IT经理、系统管理员和其他人员。
