漏洞管理應(yīng)成為每家企業(yè)的基本安全過(guò)程。為了減少攻擊面，你要確保運(yùn)行的都是操作系統(tǒng)和其它軟件的最新版本。為此，你需要確保漏洞管理方案與配置管理、補(bǔ)丁管理的過(guò)程和方案實(shí)現(xiàn)集成，并使其協(xié)調(diào)工作。在找到漏洞后，盡快地發(fā)布補(bǔ)丁至關(guān)重要，所以這些系統(tǒng)需要協(xié)同運(yùn)行。

如今，在經(jīng)營(yíng)企業(yè)過(guò)程中一個(gè)不容忽視的事實(shí)是， 網(wǎng)絡(luò)攻擊并沒(méi)有消減，而黑客們總在試圖找到訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)和系統(tǒng)的新方法。黑客們一直鐘情的利用企業(yè)漏洞的一種途徑就是在廠商發(fā)布補(bǔ)丁之前找到軟件中的漏洞。不幸的是，這種趨勢(shì)正在增長(zhǎng)。據(jù)美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)的報(bào)告， 2014年平均每天發(fā)現(xiàn)約19個(gè)漏洞，這個(gè)數(shù)字比2013年時(shí)候有了巨增，而且未來(lái)幾年漏洞數(shù)量都將持續(xù)高漲。

這些漏洞往往無(wú)法受到其它安全措施(如防火墻，因?yàn)榉阑饓ν蔀楣粽咧苯舆M(jìn)入軟件的未知后門(mén))的保護(hù)。安全方案需要知道自己在尋找的內(nèi)容，所以將漏洞管理包含在企業(yè)的全局安全方法中是很重要的。漏洞管理就是積極地保障易遭受攻擊的軟件組件的安全。安全工程師應(yīng)關(guān)注的主要領(lǐng)域往往是操作系統(tǒng)、瀏覽器及其插件、業(yè)務(wù)應(yīng)用、Web應(yīng)用等，但是還有許多其它的軟件可能包含潛在的漏洞。漏洞管理方案可以持續(xù)地掃描特定環(huán)境，不管是掃描服務(wù)器還是端點(diǎn)，都可以查找軟件設(shè)計(jì)中的缺陷。在找到漏洞后，我們就可以將漏洞交給適當(dāng)?shù)娜藛T或團(tuán)隊(duì)，并由其及時(shí)發(fā)布補(bǔ)丁和解決問(wèn)題。

漏洞管理如何與其它措施協(xié)作

漏洞管理應(yīng)成為每家企業(yè)的基本安全過(guò)程。為了減少攻擊面，你要確保運(yùn)行的都是操作系統(tǒng)和其它軟件的最新版本。為此，你需要確保漏洞管理方案與配置管理、補(bǔ)丁管理的過(guò)程和方案實(shí)現(xiàn)集成，并使其協(xié)調(diào)工作。在找到漏洞后，盡快地發(fā)布補(bǔ)丁至關(guān)重要，所以這些系統(tǒng)需要協(xié)同運(yùn)行。

漏洞管理方案還應(yīng)當(dāng)可以訪問(wèn)某種持續(xù)的監(jiān)視和掃描功能。以前，企業(yè)往往要求員工每隔一段時(shí)間就進(jìn)行安全掃描，如每周一次或每天一次。但是，在兩個(gè)時(shí)間點(diǎn)之間，仍有可能出現(xiàn)零日漏洞被利用的可能。零日漏洞的利用就是在軟件廠商發(fā)現(xiàn)漏洞之前就發(fā)現(xiàn)并利用了漏洞。為捕獲這些潛在的漏洞，你需要持續(xù)地監(jiān)視服務(wù)器和端點(diǎn)，以盡可能減少零日漏洞被利用的范圍。

而且，漏洞管理是一個(gè)聽(tīng)起來(lái)有些寬泛的詞語(yǔ)，其內(nèi)含包括了發(fā)現(xiàn)和管理漏洞的整個(gè)過(guò)程。屬于這個(gè)范疇的一個(gè)詞或一類(lèi)方案就是“漏洞評(píng)估”。當(dāng)然，漏洞評(píng)估是全面的漏洞管理項(xiàng)目的一個(gè)關(guān)鍵組件，但漏洞評(píng)估方案并不能解決一切問(wèn)題。這類(lèi)方案一般處理的是監(jiān)視、發(fā)現(xiàn)、報(bào)告與漏洞管理有關(guān)的過(guò)程。但是，為了正確地響應(yīng)和修復(fù)安全問(wèn)題，你仍需要一個(gè)更全面的項(xiàng)目。

雖然多數(shù)企業(yè)認(rèn)識(shí)到虛擬機(jī)項(xiàng)目的重要性，但是這些企業(yè)并沒(méi)有通過(guò)解決漏洞而構(gòu)建起能夠減輕風(fēng)險(xiǎn)的強(qiáng)健項(xiàng)目。其中的一些限制條件與企業(yè)缺乏基本的要素有關(guān)，如資產(chǎn)管理、工作流管理、修復(fù)跟蹤系統(tǒng)等。

優(yōu)秀的漏洞管理方案是怎樣煉成的

在選擇漏洞管理或漏洞評(píng)估方案時(shí)，你應(yīng)重視的基本特性包括能夠查找缺失補(bǔ)丁、錯(cuò)誤、系統(tǒng)配置缺陷、總體上偏離策略的大程度等方面的能力。一款好的漏洞管理產(chǎn)品還包括報(bào)告功能，對(duì)于企業(yè)來(lái)說(shuō)，這尤其重要。發(fā)現(xiàn)漏洞此時(shí)未必是最大的痛點(diǎn)，而是應(yīng)對(duì)企業(yè)正在發(fā)現(xiàn)的漏洞的數(shù)量。報(bào)告功能以及與求助系統(tǒng)和補(bǔ)丁管理系統(tǒng)的集成能力是企業(yè)應(yīng)關(guān)注的問(wèn)題。

如果貴公司在一個(gè)高度合規(guī)的行業(yè)中運(yùn)營(yíng)，你還要確保漏洞管理平臺(tái)支持有關(guān)必要的規(guī)范。事實(shí)上，很多政府和行業(yè)規(guī)范都要求強(qiáng)健的漏洞管理實(shí)踐，這意味著企業(yè)別無(wú)選擇，而只能部署一套強(qiáng)健的系統(tǒng)，這不僅僅是為了防止網(wǎng)絡(luò)攻擊，更是為了保證合規(guī)。

如果你的漏洞管理過(guò)程和方案與SIEM(信息安全和事件管理)能夠集成也是很有益的，其中后者往往充當(dāng)公司全面安全方法的基礎(chǔ)。在檢測(cè)到漏洞或配置問(wèn)題后，理想情況下就應(yīng)將這些信息提供給SIEM工具，與來(lái)自其它源頭(如防火墻和入侵防御系統(tǒng))的信息實(shí)現(xiàn)關(guān)聯(lián)。換句話說(shuō)，你要保證漏洞管理方案與盡可能多的不同安全工具共享信息，以便于從每一個(gè)可能的角度保護(hù)網(wǎng)絡(luò)。

以此觀念為基礎(chǔ)，適當(dāng)?shù)穆┒垂芾矸桨傅牧硪粋€(gè)基本要求就是它要與CVE(常見(jiàn)漏洞及披露)的數(shù)據(jù)庫(kù)相集成，后者可以給企業(yè)提供一些常見(jiàn)的軟件漏洞的一個(gè)清單。這可以確保你的監(jiān)視和掃描方案能夠查找最新的潛在威脅。為使集成更強(qiáng)健，將威脅情報(bào)方案添加到總體防御中是很關(guān)鍵的，這可以使企業(yè)更容易獲得實(shí)時(shí)的零日漏洞利用信息，在補(bǔ)丁可用之前這是很可行的。

換言之，你有一個(gè)有漏洞的軟件組件，而且也有此漏洞的一個(gè)補(bǔ)丁，你想盡快應(yīng)用補(bǔ)丁從而修補(bǔ)漏洞。但是攻擊者一直在不斷地查找其可以利用的漏洞，在其實(shí)施新的漏洞利用時(shí)，在廠商找到漏洞并交付更新補(bǔ)丁之前存在一段時(shí)間，這就是漏洞窗口。這正是你需要持續(xù)地監(jiān)視并且與威脅情報(bào)進(jìn)行整合的原因。

云服務(wù)和移動(dòng)設(shè)備正在改變世界

無(wú)論你是一直遵循漏洞管理的原則或者剛剛開(kāi)始重視，你都需要理解這個(gè)領(lǐng)域正在發(fā)生改變，而且隨著新技術(shù)的不斷出現(xiàn)，你需要變換策略才能防止網(wǎng)絡(luò)攻擊造成的損害。不幸的是，隨著企業(yè)遷移到云和移動(dòng)設(shè)備，黑客們也轉(zhuǎn)而重視這些技術(shù)。

事實(shí)上，軟件即服務(wù)(SaaS)供應(yīng)商一般都擁有最多數(shù)量的漏洞。云可被用于各種惡意目的，如垃圾郵件、發(fā)布惡意軟件、DDoS、口令和哈希破解等。除了云計(jì)算之外，大數(shù)據(jù)損害也會(huì)產(chǎn)生重大影響，并有可能產(chǎn)生嚴(yán)重的聲譽(yù)損害和法律問(wèn)題。企業(yè)未充分理解的任何新技術(shù)都必然帶來(lái)新的威脅和漏洞。

對(duì)今天的漏洞管理策略而言，云計(jì)算就是一個(gè)挑戰(zhàn)。而且，對(duì)于要求在高峰需求期間的任何自動(dòng)擴(kuò)展服務(wù)來(lái)說(shuō)，問(wèn)題也是這樣。如果你在基本配置中有一個(gè)已知的漏洞，并且你現(xiàn)在實(shí)施自動(dòng)擴(kuò)展的服務(wù)器，你就是在不斷地增加攻擊面。在云環(huán)境中，更為重要的是，你要確保在自動(dòng)升級(jí)之前，不斷地掃描基本配置的漏洞和進(jìn)行更新。

對(duì)移動(dòng)設(shè)備而言，目前的狀況并不太樂(lè)觀，這是由于移動(dòng)設(shè)備并沒(méi)有管理員可以訪問(wèn)的遠(yuǎn)程端口。如果沒(méi)有某種預(yù)置的客戶端，要遠(yuǎn)程管理這些設(shè)備是很困難的，而且，如果不是公司發(fā)放的設(shè)備，你就不會(huì)獲得與公司中其它設(shè)備同樣的訪問(wèn)水平。而且，廠商們有可能正在克服這些困難，而且公司在尋找方法將移動(dòng)設(shè)備納入到其總體的安全策略中。

隨著時(shí)間的推移，會(huì)有越來(lái)越多的企業(yè)將其移動(dòng)設(shè)備包括在其漏洞管理方案中，但未必能夠做好。從技術(shù)的觀點(diǎn)看，移動(dòng)設(shè)備的管理是很不同的。事實(shí)上，安全團(tuán)隊(duì)并沒(méi)有真正地管理移動(dòng)設(shè)備，而往往是由運(yùn)營(yíng)團(tuán)隊(duì)在進(jìn)行管理。問(wèn)題在于，企業(yè)必須重視由于移動(dòng)設(shè)備的數(shù)量激增而引起的問(wèn)題。