「三板斧」堵死安全漏洞

「小洞不補，大洞吃苦」，雖然企業已經開始重視漏洞管理，但其緊迫性仍然不言而喻。

在排山倒海的洪峰和毫不起眼的管湧中，你更害怕什麼？可能更多人害怕後者。沒錯，因為洪峰不會從天而降且可以預見，但堤壩上乙個逐漸滲水的管湧口，會悄悄掏空堤壩，最終釀成大禍。企業的資訊保安防線就像一堵防洪大壩，一方面新的病毒、新的攻擊手段層出不窮，衝擊著這座堤壩，一方面企業不斷添置硬體和軟體系統，如果不能主動找出可能出現的安全漏洞，並提前防範，任何看似固若金湯的安全系統都會變成「馬其諾防線」。

雖然對漏洞的危害性，企業資訊保安人員都心知肚明，但對於乙個擁有各種不同品牌的硬體、不同作業系統、不同應用軟體的企業來說，即使窮盡it部門的精力來「捉蟲」恐怕都捉不盡。根據美國計算機緊急響應小組協調中心（cert/cc）的調查結果，計算機突發事件和漏洞數量正在不斷增長，平均每天公布的漏洞數量在40個以上，隨著發現漏洞數量的增長，系統受到攻擊的可能性以及相關費用也在不斷增加。因此，乙個自動化、整合化、全域性性的漏洞管理系統對企業就顯得十分必要了。

智慧型查缺

「企業應該把風險管理放在it系統建設的首位。」國際著名的資訊保安專家，foundstone公司（foundstone,inc.）首席執行官（ceo）喬治·庫爾茨（george kurtz）在接受本刊越洋**採訪時開宗明義，「首先要做的是把系統中危險的地方查出來。」庫爾茨是《黑客大**》（hacking exposed）一書的作者之一，該書在美國被奉為「資訊保安界的聖經」，號稱「資訊保安第一書」。

庫爾茨在他的安全諮詢職業生涯中完成了數百個防火牆、網路和與電子商務相關的安全評估。2023年，foundstone公司被mcafee公司（mcafee,inc.）以8,600萬美元收購。

雖然很多企業已經採用了各種網路安全漏洞的檢測工具，但是對如何確定哪些漏洞更嚴重，如何去堵住這些漏洞，往往仍然束手無策。企業真正需要的是乙個能提供持續性的網路安全漏洞評估管理系統，對於漏洞能查出、能分析、能堵住。群柏數碼科技****市場總監王慧說：「企業內乙個廢棄的路由器上不經意連著網路的網口，都很有可能成為攻擊的入口。」

管理軟體廠商美國altiris公司（altiris,inc.）大中華區銷售總監馮國興說：「企業進行漏洞評估的內容應該包括防病毒軟體的狀態、安全補丁的狀態、業界皆知的漏洞、個人防火牆的狀態、系統安全配置的設定、未授權軟體和未授權硬體這七大領域。」

庫爾茨的方法是「知己知彼，百戰不殆」，就是用**黑客攻擊的手法來檢測公司的網路是否有不正確的設定與危險的漏洞，同時提供完整的管理機制，以方便管理者追蹤、記錄、驗證漏洞評估管理成效，同時通過量化的報表來真實地反映網路安全問題。如foundstone公司的弱點評估管理系統就是**黑客的行為模式，協助企業找出暴露在網際網路上的每一部主機、網路服務，以及相關資訊與漏洞，用黑客的方法檢查乙個企業的網路架構，了解整個網路架構的變動狀況。

管好家底

自演一把黑客，用黑客的方法檢視自己的網路為企業提供了乙個不一樣的角度，但企業要梳理清楚自己的全部it資產並不是舉手之勞。由於企業的it建設都是循序漸進的，桌面電腦、伺服器、儲存、路由器、交換機????硬體上林林總總，軟體方面，各種作業系統、資料庫、應用軟體，紛繁蕪雜。這些都成為病毒攻擊的目標。

2023年1月，《資訊週刊》研究部發布了《2023年中美資訊保安調查***》，研究結果表明：「作業系統和應用軟體的漏洞，經常成為安全攻擊的入口。」在遭到安全攻擊的中國企業中，接近四分之三的企業都表示：攻擊來自於已知的作業系統漏洞；五分之二的企業表示：攻擊來自於未知的作業系統漏洞；接近三分之一的企業表示：攻擊來自於已知的應用軟體漏洞；而五分之一的企業則表示：攻擊來自於未知的應用軟體漏洞；還有四分之一的企業則承認：在過去的1年中，不適當的接入控制導致了安全攻擊。（見左圖）

庫爾茨認為：「第二步就是如何把企業所有的it資產管理起來。不僅在企業裡it設施需要管理，員工攜帶的膝上型電腦同樣也需要管理。」

良好有效的資產管理對於消除死角、減少漏洞意義重大。由世界500強企業英國標準人壽保險公司和天津泰達投資控股****共同創立的恆安標準人壽保險****(下稱「恆安標準人壽公司」)的資產管理就是乙個典型案例。恆安標準人壽公司的內部網路連線了150多台桌面電腦、膝上型電腦，20臺伺服器和20多台網路裝置，這些電腦和裝置安裝的應用軟體五花八門，要把這些資產清查一遍不是件容易的事情，但不查往往就會漏洞百出。恆安標準人壽公司資訊科技總經理林新觀說：「公司內部的人員會調動，資產自然也會流動，如果完全靠人力來進行資產管理比較困難，有時候甚至無法進行下去，必須採用乙個系統管理軟體，能夠完全自動化地對資產進行動態管理。」通過與國際商業機器公司（ibm）的合作，恆安標準人壽公司基於ibm公司的tivoli軟體構建了一套資產管理系統。

現在，在恆安標準人壽公司的tivoli系統上，管理員可以通過圖形化的介面看到每個終端的軟體安裝情況。如果有不允許安裝的非法軟體，系統會發電子郵件提出警告，如果員工不按警告提示盡快刪除非法軟體，就會有專門的管理人員去跟他交涉。原來恆安標準人壽公司進行資產更新檢查，需要花費乙個禮拜甚至半個月的時間，而且需要乙個行政人員、乙個財務人員和乙個it支援人員共同參與。部署tivoli系統之後，每台裝置的具體配置都由tivoli軟體自動掃瞄管理，每當裝置配置更新，tivoli軟體能夠自動檢測、自動更新。如要檢視it資產狀況，只需要由tivoli管理系統按照需求生成一張報表即可，整個過程不到1小時。該公司通過有效的管理，做到對公司所有的it資產的狀況一目了然，大大降低了人為原因造成漏洞和安全隱患的可能性。

快速補漏

查出漏洞後就要及時修補漏洞，目前常用的方法是打補丁。但庫爾茨也認為「打補丁是比較被動的方式」，而且對於企業來說，收集、測試、備份、分發等相關的打補丁流程仍然是乙個頗為繁瑣的過程。

美國altiris公司大中華區銷售總監馮國興說：「雖然企業越來越重視補丁管理，但面對日益增多的補丁，it人員難以識別和確定應當使用哪些補丁，首先進行哪些公升級。」甚至補丁本身就有可能成為新的漏洞。顧能公司（gartner）2023年的一項調查顯示：大部分安全威脅是由舊補丁、新補丁、新漏洞、錯誤設定和缺乏統一標準造成的。

解決補丁管理的混亂，企業首先需要建立乙個覆蓋整個網路的自動化補丁知識庫。相關人員通過自動掃瞄受管理的裝置，對所有執行中的補丁程式進行集中查閱，然後分析各個補丁所針對的問題的嚴重性。

其次是部署乙個分發系統。在恆安標準人壽公司，管理員就是通過tivoli系統分發補丁軟體和病毒庫，提高運作效率，消除補丁分發所需的人工成本。而且自動化的補丁分發程式大大加快了補丁的部署速度，減少了漏洞暴露在網際網路上所帶來的威脅。現在，某些補丁分發程式，如altiris公司的客戶管理套件（client management suite）還能夠將程式包傳送到遠端和移動使用者，並且採用動態頻寬控制和斷點續傳功能，大大提高了補丁分發的效率。

由於補丁是針對緊急情況的被動應變措施，往往並不能百分百保證與系統完全「嚴絲合縫」，因此在分發安裝補丁程式，需要做好備份工作。美國altiris公司大中華區銷售總監馮國興說：「補丁管理程式需要整合備份與恢復程式，能夠快速、不留痕跡地恢復到原來的工作狀態。」這樣才能有效地減少補丁可能帶來的新的困擾。

不僅是補丁管理程式，整個漏洞管理系統還需要與企業的防入侵系統、防病毒系統等其他安全系統整合，構築一條完整的風險管理防線。

mcafee公司對foundstone公司的收購就是整合化趨勢的乙個體現。foundstone公司ceo庫爾茨說：「mcafee公司收購foundstone公司後，我們會將漏洞管理與mcafee的入侵防護技術等產品線結合起來。」據國際資料公司（idc）的報告，漏洞評估和管理及入侵檢測市場將在未來幾年得到較大增長，整個市場的收入在2023年將達16億美元。庫爾茨說：「雖然很多中國企業才剛剛感覺到風險管理的必要，但緊迫性仍然不言而喻。」

「三板斧」堵死安全漏洞

銷售三板斧

成功CRM的三板斧

DevOps的三板斧 Strace

「三板斧」堵死安全漏洞

銷售三板斧

成功CRM的三板斧

DevOps的三板斧 Strace

相關推薦