安全分析:如何高效使用漏洞管理数据?

很多机构都发现将自己的漏洞管理(VM)服务外包给别的公司有助于减少员工数量、日常开支、设备费和人事费用。但是在考虑外包漏洞管理服务能带来的诸多益处之前,机构应该谨记,期望值设定的高低在一定程度上决定了这个项目能否成功。外包公司清楚地知道,设定清晰直接的服务等级协议,完成合同上所有的指标可以避免项目开始后发现不清楚的地方,如升级导致的混乱问题和责任事故。然而最有可能被忽略的是,谁将控制数据访问和数据分享的途径。怎样才能把漏洞管理服务外包公司获取到的信息和服务供应商利用漏洞扫瞄器(如Nessus)和网络入侵检测系统(如Snort)收集到的信息结合起来,建立更全面的安全评估?我们一起看看下面的方法。

安全信息和事件管理以及规则遵从报表

“知识就是力量”就是安全信息和事件管理(SIEM)以及规则遵从报表行业的真实写照。所有的安全信息和事件管理解决方案都需要大量的数据,如日志文件和系统信息等等。对数据资源库、日志集中工具(如Loglogic)和COTS SIEM产品(如ArcSight、eSecurity/Novell)也是如此。没有这些数据就不可能对系统的安全现状进行评估。

无论安全信息和事件管理工具的使用者是外包公司还是终端客户,他们都需要从防火墙、防毒网关和网络入侵检测系统(IDS)等产品中获取日志信息和事件信息。机构使用外包公司的漏洞管理数据的一种方法是,将漏洞评估获取的数据和从IDS获取的数据结合起来。这不仅为机构提供了数据,而且允许机构将特定的IDS警报与成功的攻击链接在一起。

获取的漏洞管理数据对机构来说有着重大的价值,特别是在审计的时候。很多VM工具都会建立它们管理的服务器和设备的数据清单。相应地,一些VM服务供应商也会使用客户提供的数据。漏洞管理工具也会实时捕捉主机或服务器的安全状况。举个例子,主机使用的是什么操作系统?系统目前运行了哪些服务?现有的补丁是什么水平?所有的这些信息都对SIEM、配置报告以及管理工具起到至关重要的作用。实际上,很多审计员都会特别要求拟出一份关于设备网络状况和补丁情况的数据清单。当发生蠕虫病毒通过网络站点进行传播这类安全威胁时,在设备的网络状况和补丁状况都在掌握之中的情况下,一个具有报警功能的SIEM能够更好地利用已有数据应对潜在的危险。

与VM服务外包公司合作

关于与VM服务外包公司合作,这里有如下建议:

  • 要完全了解VM服务外包公司获取的数据情况。在签订合同之前,确保与外包公司达成一致,你拥有实时访问数据的权利,因为这些数据是通过扫瞄你的站点而得到的。
  • 与外包公司确认他们所使用的产品以及信息分享的方式。通过CSV文件或者XML可以分享这些数据吗?你的SIEM或者法规遵从工具能够自动读取日志文件和警告信息吗?理想的情况是你能够将你的SIEM或者法规遵从工具与外包公司的VM工具直接链接,以实现实时数据共享。另一个引申而来的问题是与外包公司就计划如何将这些数据应用在服务改进中进行谈判。比如说,目前已经完成的某些任务可以如何优化以提高效率。如果对误报有一个记录,判断的标准就更精确些,管理员就不需要不断地检查同样的警告了。
  • VM收集到的一些数据,比如完成补丁所需的时间,可以成为关键性能指标(KPI),并可以体现出一些关键性能的改进情况。但最根本的问题是:如果外包公司不允许你访问这些本属于你自己的,而且很有价值的数据,那你就要仔细考虑是否要和他们合作了。

外包公司的漏洞管理工具获取的信息包含了你的设备状况和补丁状况等关键信息。即使你觉得你已经掌握了这些数据信息,依然要留心去比较那些信息,而不是直接就确定。所以当你和你的VM外包公司讨论系统正常运行时间和覆盖范围时,不要忘记要求数据访问和使用的权限。因为这是你的数据信息——所以要确保你能够使用这些信息,从而使你的网络安全评估更加完善。