漏洞管理三：考虑你选择的漏洞管理

　　符合政府的安全法律法规要求，防止黑客利用网络弱点集中和针对性攻击，企业的漏洞管理(VM)过程是至关重要的。

　　漏洞管理的步骤是基本的，还有就是用户实施的方式要满足运营的需求。这部分提供了选择和实施漏洞管理方案的初步想法。

　　为消除网络漏洞选择最佳路径

　　企业实施什么样的漏洞管理方案，将直接影响企业网络安全和整体合规的实际状态。

　　当企业权衡漏洞管理每一步选项时，请考虑以下提示：

　　● 尽可能多的采用自动化。漏洞管理的许多步骤是重复的，应用到企业中的所有连网设备。手工进行这些工作会耗费巨大的时间和资源。法规可能要求企业把漏洞管理扩展到供应商、业务合作伙伴和渠道代理。没有办法，企业要有足够的预算和人员，完成所有这些步骤。自动化是必须的–不仅为负担能力和规模效益，还要确保漏洞管理在一个快速的、系统的和全面的方式进行。这是机器比人要好的情况之一!

　　● 使用牢靠、安全的技术。进行漏洞管理，我们能保护企业的网络、应用和数据的安全。不要吝啬完成这项工作所需的技术。并要特别注意实现实验和未经证实方案到用户的漏洞管理系统。当涉及到企业网络、系统和数据时，安全比遗憾要好。坚持使用在用户社区中有坚实业绩和广泛使用的漏洞管理技术。

　　● 选择能与业务一起增长的方案。变化是企业唯一不变的内容，所以检查提交漏洞管理方案的能力能否跟上企业的发展，变得越发复杂和苛刻。一方面是确保几台机器或一个小部门安全;另一方面是与多个部门、分部门、业务单元和合作伙伴–在国内和全球协调漏洞管理。

　　下面看看几个实施漏洞管理解决方案的选项。

　　选项：聘请顾问

　　顾问是一种很好的资源，由专家帮助企业保护网络和识别弱点。

　　然而，在漏洞管理和简单识别问题或证明哪里有弱点之间有很大的区别。很多顾问执行称为“渗透测试”的工作，这意味着他们试图找到漏洞并破解用户的网络。每年几次的全面渗透测试可能花费十几甚至几十万美元。渗透测试在单一时间点捕获更深的漏洞信息。这个测试结果对监管合规的具体要求已经足够了-- 但提供持续、可靠的安全性是另一回事。

　　渗透测试的保质期是短暂的：

　　● 结果仅在环境不变化，或没有新威胁出现时是有效的–但现实是每天都在变化!

　　● 结果的最好情况是几个小时。在典型的企业，管理人员每天都要重新配置网络和设备。此外，每天都会发现新漏洞，单一时间点渗透测试很快就会过时。如果企业想用漏洞管理帮助加强安全性，更适合每天做一次扫描。

　　● 由于渗透测试外包给人工处理，定期评估很快变得过于昂贵。

　　当企业使用一种自动的解决方案，漏洞管理相对比较容易，所以企业应该寻找更多资源解决发现的问题。漏洞修复往往是耗时的，因此顾问可以在复杂的任务中帮助企业，提供巨大的价值。

　　选项：自己运行软件

　　基于软件的解决方案，使企业能够在内部网络上安装漏洞管理软件，并由企业自己运行它们。软件可以自动完成许多漏洞管理的过程。

　　然而，有对漏洞管理软件的控制同时携带了管理它(和保护它)的价格标签。用户必须很好地运行和维护一切–完成通常IT和安全人员日常清单中所做的一切。

　　运行和维护漏洞管理软件的任务包括：

　　● 购买、维护服务器与基础设施，可靠地运行漏洞管理软件应用;

　　● 确保漏洞管理应用和基础设施总是100%的安全，并以最高的效率运行;

　　● 在集成的漏洞管理方案中，完成组件软件之间所需的数据交换;

　　● 维持软件使用最新版本和更新补丁程序;

　　● 而且，系统能够响应报警，并管理发现的漏洞。

　　自己动手做(DIY)有两种选择。用户可以下载开源软件或购买商业解决方案。

　　开源软件：免费但不便宜

　　开源软件通常是在一种开放、合作的方式中开发。该软件通常是免费的，用户能够使用、变更、改进或分享。然而，把开源软件用于漏洞管理需要考虑以下三方面的问题：

　　● 可疑代码。开放源代码是由公众开发的，不能保证它的质量与商业软件的质量一样。有信誉的供应商遵循软件代码保证和安全行业标准流程，并由独立的测试和验证制度，如联邦信息处理标准(FIPS)或通用标准，对提交代码进行审查。

　　当应用部署到企业生产环境后，实施非测试开源代码的应用软件会带来不牢靠的风险。还有，通过未测试模块会有不经意间把漏洞集成到漏洞管理系统的风险。事实上，模块(或漏洞检查)的许多实例造成了误报和漏报的结果。一些检查甚至禁用了系统。如果企业使用开源漏洞管理方案，用户要自己处理风险!

　　● 开源软件可能是免费的，但它并不便宜。开源软件具有与商业软件相同的运行成本。准备支付设备空间、机柜和空调、系统管理、部署和配置、维护和修补(补丁从社区开发者是否到达与何时到达)、备份和恢复、冗余、故障切换和不间断电源、审计日志、漏洞管理应用安全和维护条款、容量规划和事件监视。这样的例子不胜枚举!

　　● 培训和支持不足。负责安全的员工必须具有操作漏洞管理工具的能力–如何快速消灭在网络上发现的漏洞。使用开源软件，在互联网上很少有打包的培训和与开源论坛捆绑的支持信息。虽然许多专家分享他们的技巧，这有助于知道谁开发的软件，这往往是唯一的信息来源-- 尤其是开源模块或插件。当企业依靠开源软件进行漏洞管理，处理技术方面的工作是必不可少的。

　　商业软件：不便宜但有维护

　　用户自己运行漏洞管理软件的另一种选择是使用商业软件。大多数人都不由自主地想到商业软件是一种“安全”选项，它通常由一大堆安装的应用构成。但商业软件也有缺点，所以要考虑以下几个问题：

　　● 商业软件使用的是真金白银。用户必须购买，这需要预算、流程和文件准备工作，说服老板签署采购订单。

　　● 用户必须每年支付继续使用商业软件的授权。从技术上讲，购买者实际上并不拥有任何东西，除了许可证授予他们“权利”使用该软件。

　　● 维护带来更高的保证。商业企业开发的漏洞管理软件具有行业标准的软件保证和安全性。用户可以问问供应商他们是如何做到这一点的。在另一方面，事实上任何软件都有错误，所以用户必须定期和快速安装更新程序和新补丁。找出该流程是如何工作的，以及如何用企业的内部流程更新和修补。了解供应商的培训和支持计划，确保企业的安全人员能够部署和使用该方案。

　　● 商业软件的成本与运行开源解决方案相同。准备支付与开源同样长长名单中的内容。

　　选项??：使用软件即服务(SaaS)

　　软件即服务是一种应用的交付模式，为企业提供了一种使用软件应用的低成本方式。使用SaaS，第三方开发者在一个安全的互联网Web服务器上运行他们应用，用户用Web浏览器按需进行操作和控制。用户支付定期的订阅费节省了费用，而不是支付软件、定期更新和持续维护的费用。

　　SaaS交付的不同应用包括了客户关系管理、办公效率、人力资源、视频会议和会计等模块。 SaaS提供商处理应用背后基础设施的所有技术“重任”–用户可以立刻使用它，而不需要特殊技术专长或部署和使用它的培训。也不需要什么大师了!

　　Qualys是第一家通过SaaS提供漏洞管理的公司，是基于Web服务按需提供安全服务的全球领导者。该公司的QualysGuard漏洞管理和政策合规平台，每年为全球数以千计的客户执行超过1.5亿次的IP审计。

　　SaaS与传统软件进行漏洞管理的比较

　　企业可以通过多种方式部署漏洞管理。有的做一些基于软件漏洞管理产品的购买、部署和管理等事情。有的聘请顾问做渗透测试，使用基于软件的产品自行运行。越来越多的企业转向一种成熟的选择：按需使用SaaS做漏洞管理。

　　当用户选择了一种漏洞管理方案，衡量它的利弊得失是有帮助的，这里有四个关键因素：设计、部署、管理与合规。每个内容都决定了漏洞管理是否能成功部署。

　　设计：自外而内评估风险

　　基于软件的方案，由用户在他们企业网络上手动进行安装。这是一个熟悉的过程，但使用基于软件的漏洞管理方案拥有巨大的缺点：

　　● 基于软件的方案不提供对网络漏洞的局外人观点，尤其对周边设备。

　　● 安装选项位于网络的非路由私有侧或面向公众的因特网侧。防火墙背后的部署无法处理攻击，如格式不正确数据包的传送，因此扫描会产生许多误报和漏报。在防火墙外部署产品容易受到攻击和危害。扫描评估安全通信是有问题的。

　　使用SaaS，应用由一个可信的第三方安装和运行，并可在用户??网络上或安全外部设施上托管。后者选项使SaaS漏洞管理方案能模仿黑客的视角来看待网络的审计过程-- 从外面往里看，外部托管的SaaS漏洞管理方案还可以评估防火墙内的安全，使用“增强型设备”(它包含集成的安全保护)，可以把内部审核结果传送到中央安全存储库，该存储库由可信第三方托管和管理。

　　部署：保持运营负担降到最低

　　当用户部署基于软件的方案时，他们需要提供服务器来运行该漏洞管理应用。对大型企业来说，这可能需要把服务器放在世界范围的多个数据中心，因此，为网络和安全人员建立所需的基础设施，部署会消耗大量的时间。即使可能，这些资源与企业管理平台的整合往往也具有很大挑战。

　　SaaS方案有许多运营优势：

　　● SaaS已经在“启动和运行”状态，所以部署是即时的，无论多少站点需要漏洞管理，也不管他们在世界上何处;

　　● 不会有软件代理安装，与其他应用冲突;

　　● SaaS具有天然的扩展性，在大企业中可以立即开始工作;

　　● 该方案应该提供一个应用程序接口(API)，可实现与企业网络管理平台的简单整合。

　　图3-1显示了人们采用SaaS的主要原因。

　　图3-1：人们为什么采用SaaS。

　　管理：高效低成本的方案

　　基于软件的方案需要大量的漏洞管理费用。在大规模的部署中，扫描结果分散在多个网段和设备中，所以整理漏洞的企业级视图是一个漫长的手工过程。软件更新和补丁必须应用到每个分散节点，这也需要硬件维护和备份。此外，节点托管的软件很容易受到攻击。

　　使用SaaS的漏洞管理消除了所有这些问题：

　　● 安全的SaaS托管意味着为整个企业的更新是自动和即时的。

　　● 企业范围的漏洞数据整理是自动的。

　　● 使用SaaS的整体拥有成本(TCO)是较低的，因为消除了人工部署、管理和报告。

　　合规：为各种政策法规提供审计和报告

　　证明基于软件方案的合规是困难的。除了手动整理报告，该数据由用户“拥有”，并由外部的审计人员审查。相比之下，全自动的SaaS漏洞报告已得到审计人员的信任，因为它由安全的第三方收集和拥有。SaaS通过强制执行访问漏洞管理功能和报告在企业中基于用户的操作角色，提供了防篡改能力。这种基于角色的能力进一步保障了漏洞管理结果验证合规的完整性。

（罗克韦尔自动化（中国）有限公司 华镕）