10月24日,微软系列操作系统爆出2008年最大的安全漏洞(Windows Server服务RPC请求缓冲区溢出漏洞(MS08-067)),影响包括Windows 2000、Windows Server 2003/2008、Windows XP、Windows Vista等几乎所有主流微软操作系统。
目前尽管微软已经发布了该漏洞的补丁,但是由于受"黑屏行动"的影响,很多用户已经关闭了系统的补丁自动更新功能,因此该漏洞很可能造成意想不到的严重危害。
利用杀毒软件的漏洞扫描程序可以修复该严重漏洞,避免遭到可能发生的病毒或恶意程序攻击。但是,面对众多的操作系统和应用程序漏洞,仅仅依靠杀毒软件是不够的。用户需要漏洞管理产品来彻底杜绝漏洞可能给企业带来的安全威胁。
绿盟科技产品市场经理李晨说:"杀毒软件进行的是终端检测,仅仅扫描操作系统的漏洞,而且需要安装代理。而漏洞管理产品无须安装代理。漏洞管理产品通过模拟黑客的行为,对整个网络系统进行攻击测试,远程评估网络系统的安全级别,并生成评估报告,提供相应的整改措施。"
从扫描到管理
早期的漏洞扫描产品只对目标系统进行漏洞检测,并且提供指导性的漏洞修复方案,没有实现真正意义上的漏洞管理。根据国际权威应急组织CERT/CC 统计情况来看,漏洞的大量存在是网络安全问题的总体形势趋于严峻的重要原因之一。
随着国家信息安全风险评估和等级保护工作的逐步深入,用户需要一套行之有效的漏洞管理产品,通过漏洞预警、漏洞分析、漏洞修复、漏洞审计等流程,高效实施风险降低或规避措施,真正解决用户对漏洞管理的需求。
互联网环境和用户的安全需求都在发生变化,漏洞扫描这一概念也渐渐地被漏洞管理所替代。在网络安全建设中使用的传统漏洞检测类产品,由于只能单单完成检测而不能实现真正意义上的漏洞修复和管理,所以逐渐被新产品和新技术替代。在进行安全建设的过程中需要一套有效的管理机制并通过一定安全技术手段辅助自动完成整个过程,才能有效地对漏洞进行动态地管理,实现对漏洞风险管理的闭环。在传统漏洞扫描产品的技术基础上,漏洞管理产品应运而生。
漏洞管理产品和漏洞扫描工具最根本的区别在于漏洞管理产品从漏洞生命周期出发,提供一套有效的漏洞管理工作流程,实现了由漏洞扫描到漏洞管理的转变,实现了"治标"到"治本"的飞跃。而漏洞扫描工具仅仅是一个发现漏洞的工具。二者的对比:
■常见漏洞扫描工具关注的是阶段,而漏洞管理产品关注的是全局。
■常见漏洞扫描工具关注漏洞,不关注风险;漏洞管理产品从资产、漏洞和威胁三个角度关注风险。
■常见漏洞扫描工具关注漏洞发现,不关注漏洞修复有效性,只开方子,不管疗效;漏洞管理产品关注漏洞发现和漏洞修复有效性,既开方子,又复查疗效。
网络扫描、主机扫描产品只是漏洞扫描因应用场合不同而分的两个同类产品。漏洞管理产品是漏洞扫描工具发展后的产物,可以说传统漏洞扫描器是第一代产品,而漏洞管理产品是在此技术基础上发展起来的第二代脆弱性分析与管理产品。
现在,漏洞管理技术在向更智能、更全面、更广泛的方向发展。"更智能"指的是现在的漏洞管理产品使用起来越来越智能化,人为参与的过程越来越少,比如自动检测漏洞、自动报表分析、自动修补漏洞等等,而以前传统漏洞扫描产品只能做"漏洞检测"。"更全面"指的是全方位的发现资产风险漏洞,并能够有效地对漏洞进行动态管理,实现对漏洞风险管理的闭环。"更广泛"指的是近年来,随着企业里网络管理安全意识的提高,人们对安全的重视,也由于漏洞管理产品自身的易用与高效性,漏洞管理产品在各个行业迅速扩大着应用范围。
迈克菲公司中国区安全顾问张宏明说:"漏洞管理产品目前已经进入成熟阶段,由最初的仅扫描系统漏洞发展到现在能够提供漏洞扫描、资产管理、资产优先级漏洞关联等功能。"
漏洞扫描工具能够对各种漏洞进行识别分析,并给出漏洞的修补建议。而漏洞管理产品不仅具备漏洞扫描工具的功能,而且还有"管理"功能,简单的说其管理功能包括安全风险管理和修补流程管理两方面内容。通过安全风险管理,用户知道自己面临的安全风险的优先级,这种风险会给自己的业务系统或生产系统造成多大的损失,应该首先修补哪些资产的安全风险,哪些是可以延期修补的,这样IT管理人员就会有明确的修补目标,提高IT 运维的整体工作效率。
和资产挂钩
单纯的漏洞扫描产品因为没有与资产关联,只能扫描出漏洞而不能反映客户环境中资产的真实风险状况。
漏洞管理产品将资产、漏洞、威胁管理紧密结合,提供了图形化的资产管理方式,并通过可量化的模型呈现,帮助用户对网络中存在的风险有一个整体、直观的认识,做到真正意义上的风险量化。
榕基网络安全事业部副总经理余精彩向记者介绍,早期的漏洞扫描产品只对目标系统进行漏洞检测,并且提出指导性的漏洞修复方案。而目前的漏洞管理产品,把漏洞管理的循环过程划分为漏洞预警、漏洞分析、漏洞修复、漏洞审计四个阶段:
1、漏洞预警:最新的高风险漏洞信息公布之际,漏洞管理产品提供商会在第一时间通过邮件或者电话的方式向用户进行通告,并且提供相应的预防措施。
2、漏洞分析:对网络中的资产进行自动发现,并且按照资产重要性进行分类。再采用业界权威的风险评估模型对资产的风险进行评估。
3、漏洞修复:漏洞管理产品本身提供了可操作性很强的漏洞修复方案,同时还提供了二次开发接口给第三方的补丁管理产品进行联动,方便用户及时高效地对漏洞进行修复。
4、漏洞审计:通过发送邮件通知的方式督促相应的安全管理人员对漏洞进行修复,同时启动定时扫描任务对漏洞进行审计,大大提高了安全人员手工验证漏洞是否修复的效率。
李晨表示,绿盟的漏洞管理产品分为五个管理过程,也包括漏洞预警、漏洞修复和漏洞审计,只是将"漏洞分析"分解成了漏洞检测和风险管理两个部分。
在漏洞修补的过程中,漏洞管理产品的漏洞修补流程管理会给用户提供一个最佳的修补管理工作流,举例来说企业用户会有系统管理员、网络管理员、数据库管理员、邮件管理员、ERP管理员等,每个管理员都要管理好自己的系统,定期更新系统,打补丁等,修补流程管理会给各个管理员派发工单,通知其进行漏洞修补,并且可以自动验证工单是否修补完成。漏洞管理产品的管理员可以查看各个工单的状态,通过一个平台对整体的漏洞状态、修补过程、安全风险状态进行管理。
买好还要用好
漏洞管理产品对保护企业的网络安全十分重要,那么用户该如何挑选漏洞管理产品呢?一款好的漏洞管理产品应该具备哪些要素呢?
1、 该产品要能够同企业的安全风险管理流程紧密结合,能帮助企业对各个业务系统的资产优先级进行划分,提供安全漏洞修补的优先级。这就要求漏洞管理产品具有资产管理能力。
2、 提供漏洞修补流程工单,能够提高IT工作效率。
3、 具有风险预警能力,或者说是威胁关联分析能力。任何漏洞信息的发布到能够修补都有个时间窗口,而在这段时间如果漏洞利用工具已经出现,威胁关联分析就会通知IT管理人员当前的安全威胁会影响的相关系统、安全风险的严重程度,IT管理人员可以提前进行必要的安全防范。
4、 灵活的部署及管理能力。漏洞管理产品能够提供按业务单位、分公司等方式来划分子管理域,子域的管理员仅能管理本业务单元的系统。
5、 安全风险综合评分,安全风险是一个动态变化的过程,企业可以通过安全风险分数对企业目前的安全风险和长期的安全状况一目了然。
6、 智能的整合能力,能够同其他安全产品进行整合。通过同系统管理和资产管理产品整合,为企业提供资产信息及该资产已有的防护手段;工单管理和修补系统整合,提高整体工作效率;和NIPS(网络入侵防御系统)整合,提供具有风险感知的入侵防护系统,实现实时安全威胁防护;和安全审计产品整合,为安全审计产品提供可导入的报告,提高审计效率和遵从依据。
另外,张宏明还补充了一点:近几年,国外的各个行业都有安全遵从的法律法规要求,这些要求使得企业IT管理人员要耗费很大的精力去准备遵从报告。漏洞管理产品应该具有帮助企业管理人员提供各种法律法规遵从报告的能力。
李晨认为,选择漏洞管理产品时,一是注意准确性,就是漏洞检测的准确性,全面的漏洞覆盖度,这是漏洞管理产品最关键的性能。二是智能性。漏洞管理产品的绝大部分工作都应该实现智能的自动化进行,尽量减少维护人员的工作量。三是闭合性。能够有效地对漏洞进行动态管理,实现一个技术和管理结合的闭环的工作流程。四是开放性:这一点与"闭合性"不矛盾,而是提供一个开放的过程,保持强大的扩展性。五是"定性与定量"。能够结合资产,提供分析模型对漏洞评估的结果进行定性和定量的风险分析,并根据资产重要性给出可操作性强的漏洞修复方案。
为了保证系统的安全性,企业应该经常对系统进行漏洞扫描,但频率并不是越高越好。张宏明说:"从系统安全的角度来讲,扫描频率越高越好,但漏洞扫描都会影响系统性能,会对主机以及网络的性能产生一定的影响。"
企业可以根据资产的重要程度对被扫描资产进行分类,优先级高的扫描频度高些,并对扫描策略进行颗粒度细化,调节漏洞管理系统扫描的网络资源占用率,扫描性能进行优化,为企业提供最大化的安全防护。
李晨表示,企业进行漏洞检测的周期与企业资产的安全重要性相关,不同企业,以及企业中不同重要等级的资产有着不同的自检周期。他建议企业根据自身资产、网络情况、业务情况的特点,对不同的资产定义不同的安全等级与资产重要性等级(结合等级保护的思想),对不同安全等级资产定义不同的漏洞检测周期,从安全角度和可维护角度找一个平衡点。
余精彩说:"当有最新的高风险漏洞信息公布时,需要及时对目标系统进行漏洞检测。平时可以根据企业的安全策略实时、定时地对目标系统进行漏洞检测。"