本次采访中,StillSecure公司CTO,及负责客户关系的副总裁米切尔·爱希里(Mitchell Ashley)谈了漏洞管理过程及其与现有IT系统的交互方法。爱希里先生在信息网络、网络安全、软件产品和服务开发方面已有20年的领导经历。
Q:请问怎样部署漏洞管理过程?
A:当开发一个漏洞管理项目时,认识到生命周期是非常重要的。第一步要全面检查网络上现有哪些设备,这应该周期性的有规律地检查,以发现刚刚进入和离开网络的那些设备。
然后,判别这些设备中,有哪些可以为漏洞扫描所用。最好的方法是制定一个时间表,指明哪些设备,指明IP地址的范围,并安排定期的漏洞扫描。在决定什么时候扫描什么设备的时候,要考虑到生产窗口和设备的可用性。此外,定期扫描比手工扫描要好,因为这样可以保证持续扫描漏洞。
接下来,开始通告和补救过程。可以通过补丁(手工的或补丁管理器)、配置变化以及像更新防火墙策略及访问控制列表这样的网络配置变化来进行补救。最为重要的是,要有一个从发现漏洞到修补漏洞整个过程的记录。这些信息对于向经理、审计员及外部协调机构汇报结果都是非常关键的。对于任一漏洞管理过程的管理方法都需要可以完成这些步骤的自动工具,不必有其它的执行手工过程的技术资源。
Q:漏洞扫描和漏洞管理在特性和功能方面主要有哪些区别?
A:漏洞管理是创建一个可以支撑的、系统性的过程,强调自动化。基本的漏洞扫描依赖于手动的步骤,网络或安全工程师必须执行这些步骤,把结果填入表格,并通过电子邮件发送出去,等待回复,然后再手工的跟踪、更新、报告。这占用了许多非常宝贵的工程时间,并浪费了很多资源来执行管理员工作。漏洞管理把这些过程全部自动化。安全或网络工程师的时间花在思考应该用哪些漏洞策略才是最合适的、执行一些像区分可能存在的漏洞的等级、帮助其他人诊断或修补漏洞。
所有的这些过程都是自动的,工程师可以去干更有价值的工作。自动化还意味着这些过程会定期发生,不会被其他工作打断。此外,信息必须存到重要数据仓库中。报表和电子邮件效率很低,坦率地讲,大多数的技术人员都很讨厌这种工作,因为实在令人头疼。有了中央数据仓库就意味着有对漏洞的历史记录,可以快速进行补救。我们构建StillSecure的漏洞管理平台VAM时,就考虑到了这一点。
Q:漏洞管理可以和IT架构的其它部分联系到一起吗?它可能对现有的IT系统和过程起到平衡作用吗?
A:网络安全工作发生了很大变化。很多安全工作需要和其它部分协同起来,经常会包括 IT以外的东西。如果已经有了做配置变化、跟踪变化请求、管理资产清单等的系统和过程,这会是一个挑战。企业级的漏洞管理系统可能会通过和已有系统和过程的结合加速对漏洞管理过程的采用。如果公司不需要引入新的系统或过程来覆盖或代替现有的工作方法,那么达到这样的结果就更容易了。把你的漏洞管理系统和资产管理、故障记录或补丁管理系统集成起来,对新过程的采用大大有利。
根据你所用的工具的不同,这个过程也从非常容易到超级困难。通常,当用户开始要求把他们的漏洞管理系统和其它IT设施集成起来的时候,厂商会亡羊补牢地冲向API。举例来讲,StillSecure的VAM平台就有一个我们有意构建的集成框架和未打包的连接器,使得和企业IT架构的其它部分的集成容易很多。在产品中构建集成功能来自于集成IT系统时的经验,在StillSecure公司这总是被看得很重要。
Q:对于现有的环境,选择漏洞评估工具的最好方法是什么?
A:要考虑最终目标。网络和安全管理员应该知道他们想要偶尔做一些扫描得到报表,还是需要一个系统化的过程来得到定期的、持续的结果。有时,这儿那儿的随便扫描一下就可以了。大多数场合,特别是如果安全团队之外的其他人希望得到可靠的结果时,就需要更加详尽全面的漏洞管理系统。
选择漏洞管理选题时,以下这些问题需要考虑:可以对定时、扫描、显示结果、产生报表提供多大程度的自动化?工具是否可以促进系统管理员和安全人员所需的工作流程,是否足够灵活,可以和公司的其它部分集成工作?该系统是否可以处理分布式的网络拓扑结构,升级是否容易?是不是多用户的结构,在限制和控制上很灵活,用户可以看到变化的信息或变化的动作,比如扫描和数据改变?
Q:大多数的安全从业人员都比较惧怕Regulatory Compliance这两个词。怎样才能做到,部署一个漏洞管理系统,可以遵从像FISMA、Sarbanes Oxley和HIPPA这样的规则?
A:让我们来面对这个问题。对法规的依从会帮助安全项目获得投资,但同时也增加了安全机构的可见性和责任。审计员和管理者希望能定期得到关于漏洞管理系统的报告,这对企业是很危险的,应该怎样解决这些问题呢?法规通常不是具体要求IT结构应该做什么,这些通常由公司和审计员自己决定。从根本上说,所需要的是部署、跟踪、监控和制定漏洞管理系统的系统化方法,要证明该公司及其策略足以保证安全性。
漏洞管理是一个主动策略,保证最高级别的威胁可以得到解决。还提供必要的工具、跟踪和报告机制,来减轻威胁。除了要使之成为一个系统化的、自动的过程外,漏洞管理系统还要保证扫描、同步信息、月底报表等的有序进行。