高效漏洞管理的几个妙计
发布时间:2022-06-04 09:15:43 所属栏目:安全 来源:互联网
导读:层出不穷的漏洞让安全人员的工作不堪重负。但是,想要将所有漏洞一次性消除又几乎不可能。如果安全人员将注意力放在一些无伤大雅的小漏洞而长时间忽略严重的漏洞,这就犹如在粉刷一个随时会坍塌的屋顶一样滑稽。由于各个企业都有其自身的特点,因此需要对漏
|
层出不穷的漏洞让安全人员的工作不堪重负。但是,想要将所有漏洞一次性消除又几乎不可能。如果安全人员将注意力放在一些“无伤大雅”的小漏洞而长时间忽略严重的漏洞,这就犹如在粉刷一个随时会坍塌的屋顶一样滑稽。由于各个企业都有其自身的特点,因此需要对漏洞响应顺序进行优先级排序,需要了解每个漏洞对企业关键资产或业务造成威胁的严重程度。 正所谓,千里之堤,溃于蚁穴。一个小小的漏洞,也可能引发致命的危害。因此如何快速确定漏洞修复优先级,并以最快的速度修复关键漏洞成为了所有安全人员的头等大事。为此,根据我在网络安全服务领域多年来的从业经验,总结出了一个漏洞管理的关键策略:知己知彼,百战不殆。 一、知己:资产管理是风险评估的前提 当运行良好、风平浪静的时候,资产管理往往显得不那么重要,但是当遇到攻击时,就会让安全运营人员明白谁才是安全防护的先决条件。例如,爆发高危漏洞时,如果安全人员无法确定有哪些资产受到该漏洞的影响,想要确定漏洞修复优先级就犹如盲人摸象,无从下手。 因此,我认为,资产管理是安全的前提,但良好资产管理方案需具备以下二个方面的能力,包括资产清点的能力和资产关联的能力。 1. 理得清:资产的全面清点 企业必须清楚自己的所有资产(包括硬件和软件),比如自己企业中有哪些服务器,分别运行什么软件,它们是如何打补丁的?如果你不知道自己拥有什么,就很难回答上述这些基本问题。 在整个事件响应过程中,安全人员不知道业务部门上报的资产全不全,也不知道检测脚本是否扫描到所有包含漏洞的主机,更不知道在此期间是否有黑客已经入侵到企业内部。这个漫长的等待过程,那些脆弱的主机资产就犹如砧板上的“鱼肉”任黑客宰割,安全人员却如同局外人一般,束手无策。 2. 看得透:资产的深度关联 资产的全面清点是资产管理的第一步,有助于企业生成完整的、不断更新的资产视图。但是如果针对资产收集的每条数据都很浅显,那么即使拥有完整的资产列表所能发挥的价值也是非常有限的。以主机资产为例,信息安全团队除了需要深入了解主机资产包括硬件规格、已安装的软件、已批准的账户、root权限和安装包等各方面信息,还需要了解这些资产之间的关联程度以及每类资产的重要性。 二、知彼:持续监控是漏洞响应的关键 除了对企业IT资产要有清晰而深入的了解,企业安全负责人还需要对外部漏洞风险情况有所了解才行,此为“知彼”。这包括行业协会、政府机构、学术研究人员、技术分析师和安全供应商等机构最新的漏洞披露情况。尤其是对那些可被利用的“零日”漏洞、可“横向移动”漏洞等外部风险状况需要格外注意。一旦发现新爆发的漏洞,应该立刻将漏洞规则包导入扫描系统,以便尽快对该漏洞进行检测。 当然,扫描的频率决定了持续监控的可行性。如果每月扫描一次,甚至每个季度扫描一次,就很难为实时监控提供最新的数据信息。鉴于漏洞不断变化,因此,建议每天持续地扫描重要的、优先级高的核心资产。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐