脆弱性管理工具的作用不仅仅是扫描网络。这是使用它们在整个企业基础架构中检测和减轻风险的方法。
安全 - 智能组织在评估和解决脆弱性方面远远超出了思考 - 现在脆弱性管理是其公司安全,风险和合规计划的基石。随着IT风险的观点已经成熟,因此脆弱性管理工具现在支持脆弱性发现,补救和报告的连续企业生命周期。
随着法规合规性要求的增加,可用的产品范围也扩大了,公司开始寻求更明确和强烈执行的变更控制。供应商还对扩大的威胁格局做出了反应,在这种情况下,网络脆弱性扫描仍然是桌子赌注,但是应用程序层甚至数据库安全评估和补救已经变得至关重要。
还阅读伴侣文章脆弱性管理工具:DOS和NOTS
选择脆弱性管理产品的过程比回答这个问题要复杂得多:“谁制作了最佳脆弱性评估扫描仪?”
功能丰富的脆弱性管理产品或产品套件必须能够至少支持资产发现和枚举,脆弱性检测,风险评估,配置合规性评估,变更管理和修复,验证,验证以及审计和报告的可重复生命周期。
一家使用McAfee脆弱性管理产品的大型金融机构的安全经理说:“您需要做的整个周期总是在进行。”“尾端是,一旦完成补救,就必须继续重复该过程。您必须定期稳定地进行操作。”
作为产品供应商,服务提供商或两者的组合,大多数主要参与者一直在这个市场上,这为您提供了广泛的公司,具有深厚的专业知识且长期记录可供选择。供应商包括“超越安全”,“关键手表”,EEYE,GFI,IBM,Lumension Security,McAfee,Ncircle,外围电子安全性,Qualys,appaid7和Tenable Network Security(以前开源的Nessus Nessus Scanner的创建者)。
脆弱性管理的要点
在他们的基础上,脆弱性管理工具执行了两个基本任务:它们可以帮助您在网络上发现资产,并检测漏洞,通常在操作系统和关键应用程序中。
发现阶段本身是值得的,尽管组织经常忽略其重要性,从他们所知道的或更准确地说,他们认为他们所知道的东西(大约是他们的网络上的内容)来解决工作。
金融机构的安全经理说:“您可能会认为自己拥有稳定的网络库存。”“一家公司说他们没有无线。他们怎么知道他们是否不监视无线入侵检测系统?他们将被提出此类问题的审计师所困扰。”
脆弱性管理工具扫描网络为主机,列举网络服务并使用各种技术来确定可能的漏洞,包括获取横幅信息(例如OS和Web服务器版本),确定端口状态,协议合规性和服务行为。如果发现一个开放端口,他们会根据其漏洞签名数据库检查资产状态。
依靠监视网络流量的被动扫描对于基本资产发现和枚举特别有用,因为它们是快速且完全不引人注目的。它们还可以用于补充主动扫描,特别是当您没有时间或授权在实时生产网络上进行积极扫描时。
“例如,您可以在所有电子邮件和DNS服务器所在的地方学习 - 您会惊讶于大型组织的难度,” Tenable Security的首席执行官兼首席技术官Ron Gula说。“ [网络地址翻译]启用的防火墙后面的有效DNS服务器可能正在接受DNS查询,而不是从扫描仪中接受。能够被动地找到所有这些信息非常有用。”
可以在有或没有身份验证凭证的情况下进行主动扫描。凭据允许扫描仪登录具有管理权的服务器或其他资产,并获得广泛的详细信息。这些扫描非常准确 - 没有身份验证的访问就无法验证许多漏洞 - 当扫描仪收集配置信息时,它们是必要的。它们也更加耗时且可能破坏性,并添加安全开销,因为您必须安全地管理这些凭据。
脆弱性管理工具通常支持被动和主动扫描。
代理与无代理脆弱性扫描
然而,供应商和最终用户之间的宗教战争围绕基于代理商而不是代理扫描。
从好的方面,代理人:
始终启用,允许您在不进行扫描的情况下获取信息。
提供高度详细的配置,OS,服务和应用程序信息,并减少误报的机会。
没有破坏性。
不容易受到主动扫描的偶尔失败(防火墙干扰,掉落的数据包等)。
在往下,代理商:
必须进行管理,这要求组织承担处理机器上另一个代理商的开销。
可能会导致冲突,具体取决于其他正在运行的东西。
某些机器上的法规或政策可能会禁止。
不能在没有支持它们的接口的设备上使用,包括路由器和开关等网络设备。
只能放置在已知的托管设备上,因此您仍然需要至少扫描资产。
Forrester Research的首席分析师Chenxi Wang说:“脆弱性评估技术需要尽可能部署代理商,并在不可能的情况下无助。”“代理商对设备的配置以及在其上运行的服务提供了更深入的视图。您可以看到的信息没有比较。”
两者之间的方法是使用临时代理,可以将其放置在目标设备上,以在没有扫描的情况下收集信息,然后在完成作业时删除。
修补及其他
支持漏洞管理生命周期:核心用例仍然是安全修补程序。您会发现网络上哪些服务器,路由器等正在运行具有特定漏洞的OSS或应用程序,因此您可以应用正确的安全补丁。然后,您重新扫描以确定是否成功应用了补丁。
但是,如果没有正式的脆弱性管理计划,则补丁可能会效率低下且有些命中,并具有明确定义的政策以及业务风险评估和变更控制流程。成熟的企业级脆弱性管理工具提供:
资产发现,使组织在其网络上尽可能完整地列出了授权和流氓设备和应用程序。
通过基于代理或无代理技术的脆弱性检测。
风险评估,基于已知漏洞的严重程度的结合,利用的可能性以及组织分配给脆弱资产的价值。这可以优先考虑补救。
切换控制。这是橡胶遇到道路的地方。该工具应通过公司使用的任何系统向适当的操作人员进行修复,并根据风险评估优先处理工作票。更改控制过程应能够验证在票务关闭之前通过重新扫描进行和验证补救措施是否可以关闭。
审计法规合规性和内部报告。该工具应提供开箱即用的和可自定义的报告,该报告可以将漏洞管理数据映射到适用的监管和政策要求。
配置管理
可以辩论是否应仅将“漏洞”术语应用于代码中的可利用弱点,或者应将其扩展到配置错误还是未能遵循配置最佳实践。然而,未能遵守监管控制和公司政策,无法安全地配置设备,OS甚至应用程序,这可能会使它们容易受到攻击。
Tenable首席研究官,Nessus的创造者Renaud Deraison说:“脆弱性来来去去。“配置审核是确保安全策略朝着正确的方向发展,而修补程序是更多的日常。”
法规是关键驱动力,要求公司遵循所有事物的标准安全配置实践,包括默认管理密码,启用或禁用的服务以及适当的密码强度。因此,大多数脆弱性管理供应商已扩大了其包含配置检测的功能。资产配置必须通过身份验证的扫描或代理确定,并将其与监管指南,策略,通常是设备的黄金标准(例如,Apache Web服务器或Cisco路由器)。这是一家没有自动工具的乏味的业务。
“在我工作的以前的公司中,我实际上会手动检查某些配置,” Snajsoft.com博客的安全顾问,作者Shaheen Abdul Jabbar说。“如果我有一个自动化工具,那将节省我的一天。”
对于漏洞,检测违规审核周期基本相同。核心差异是建立基线安全配置,而不仅仅是检测编码缺陷。
这家金融机构的安全经理说:“对基准的配置检查,最低目标是至关重要的。”“我对自己想要的标准实施感到痛苦。如果有重大偏差,我想立即知道。
扫描应用程序和数据库
许多脆弱性管理产品进一步扩展了其功能范围,以包括Web应用程序,在某些情况下还包括数据库漏洞扫描。尽管网络扫描仍然是核心功能,但领先的供应商正在采用这样一种态度,即脆弱性是脆弱性。
安全经理说:“我应该能够使用一个工具说,'我想将此框扫描到所有内容:应用程序,网络,操作系统,'因为我关心漏洞,期间。”
然而,应用程序脆弱性测试是复杂且困难的。例如,Web应用程序的动态测试需要爬行站点并测试各种潜在的弱点,例如无数输入可能性组合,以确定是否存在可利用的脆弱性。
大多数漏洞都在应用层发现,这就是攻击者将大部分能量集中在这里。但是组织对此威胁向量的反应非常慢。随着企业升温以将新的Web应用程序在线启动,开发人员承受着巨大的时间和预算压力,可以专注于功能,而不是安全性。结果是,大型组织有成千上万的应用程序,这些应用程序充满了安全缺陷,很少有企业类似于安全软件开发生命周期。
应用程序漏洞很难检测到,需要花费大量时间和金钱来补救,尤其是与修补Windows漏洞或纠正配置错误的易用性相比。
此外,应用程序安全市场长期以来一直是高度专业的产品和服务提供商的省,他们拥有其他地方供应的应用专业知识和经验。那么,为什么要在漏洞管理工具中寻找应用程序扫描呢?
合规是一个重要因素。企业至少可以在遵守现在需要采用安全措施的法规时进行第一次削减。
Qualys首席营销官Amer Deeba说:“由于合规性,CSO必须确保这些应用程序在生产环境中安全部署。”“脆弱性管理正在融合,将所有集中式视图融合在一起。”因此,他说,网络管理员可以处理网络可变性扫描结果,并且应用程序所有者可以与开发人员合作,以补救应用程序扫描仪发现的漏洞。
他补充说:“但是安全组织和CISO负责所有这些安全性。”
数据库漏洞扫描的需求较小。数据库通常在公司IT基础架构的后端相对隔热,并且主要通过与之互动的公共面向公共应用程序暴露于攻击。因此,主要的安全重点是正确地是在如何通过应用程序访问攻击者访问数据库的方式。
数据库安全性以及控制它的监管控制主要是通过分离职责,强大的访问控制和活动监控来控制特权内部人士。
阅读有关网络安全的更多信息在CSOONLINE的网络安全部分中。
这个故事“脆弱性管理一直在变得更加性感”最初由CSO 。