很多人應(yīng)該都記得2003年“蠕蟲的一年”，在那年的1月25日，我們看到了SQL Slammer蠕蟲攻下了整個美國的自動提款機(jī)，同時感染了全球范圍內(nèi)數(shù)百萬臺個人電腦和服務(wù)器，該蠕蟲病毒利用了微軟SQL服務(wù)器中的漏洞，事實(shí)上，微軟早在攻擊發(fā)生前的六個月就已經(jīng)發(fā)布了這個修復(fù)程序。

當(dāng)年晚些時候，Blaster蠕蟲病毒則利用了一個月前剛剛修復(fù)的漏洞。這種趨勢越來越明顯：發(fā)現(xiàn)漏洞和利用漏洞的惡意軟件出現(xiàn)之間的時間越來越短。隨著而來的是，漏洞管理新時代的誕生，企業(yè)們瘋狂地掃描他們的網(wǎng)絡(luò)查找有漏洞的設(shè)備。

在信息安全領(lǐng)域經(jīng)常就是這樣的情況，只有在真正發(fā)生嚴(yán)重事故后，才會采取行動。隨著Slammer和Blaster的出現(xiàn)，IT安全部門就能夠拿出令人信服的案例來說服管理層部署企業(yè)級別的網(wǎng)絡(luò)掃描技術(shù)，從而發(fā)現(xiàn)和報告漏洞風(fēng)險的狀態(tài)。所以我們部署來自Foundstone、nCircle、Qualys和Rapid7等供應(yīng)商的工具。

這些漏洞管理工具能夠向我們提供關(guān)于連接網(wǎng)絡(luò)的端點(diǎn)以及資產(chǎn)資源狀況的情報信息。事實(shí)上，存在太多數(shù)據(jù)，需要花一些時間來整理優(yōu)先事項(xiàng)以及考慮如何向企業(yè)內(nèi)的負(fù)責(zé)方報告。不過現(xiàn)在我們就能夠?qū)@些情報信息和數(shù)據(jù)作出反應(yīng)了。

不過，擁有漏洞數(shù)據(jù)還只是解決了一半問題。另一半問題是進(jìn)行修復(fù)，為此，我們需要獲得IT部門其他團(tuán)隊(duì)的幫助。面臨的挑戰(zhàn)：我們?nèi)绾巫屩С謭F(tuán)隊(duì)認(rèn)識到問題的存在，并且需要讓他們明白，他們必須在漏洞被利用前迅速修復(fù)漏洞。

在本文中，我們將分析漏洞管理的五個階段，并提供一些建議來如何到達(dá)最后一個階段：即接受漏洞管理。

1. 拒絕。 “掃描結(jié)果是不準(zhǔn)確的，在你的掃描結(jié)果中存在誤報(沒有漏洞卻說有漏洞)”

拒絕通常只是個人(或者支持團(tuán)隊(duì))的暫時抵抗。為了度過這個階段，你必須讓支持團(tuán)隊(duì)將注意力放在積極行動上。換句話說，將他們認(rèn)為是錯誤的項(xiàng)目暫停，讓他們將重點(diǎn)放在他們贊同的項(xiàng)目上。這將能夠讓工作繼續(xù)進(jìn)行下去，而不是讓他們懷疑漏洞結(jié)果。

2. 憤怒。 “這是誰的錯?是你提出進(jìn)行這些掃描的更高請求嗎?”

很多支持部門會對于結(jié)果所有權(quán)的偏離表示憤怒，質(zhì)疑掃描他們網(wǎng)絡(luò)中設(shè)備的權(quán)利。要度過這個階段，你最好獲取足夠的和可證明的預(yù)先授權(quán)，再對這些網(wǎng)絡(luò)進(jìn)行掃描。這可以通過更改控制過程進(jìn)行確認(rèn)，但這通常涉及對掃描次數(shù)的協(xié)商，可以通過獲取高層的授權(quán)來進(jìn)行掃描。

3. 爭吵。 “真正的風(fēng)險是什么?你可以將掃描工作延遲到下一個季度嗎?因?yàn)槲覀兲α?。我不明?”

第三階段涉及某些個人(或者支持團(tuán)隊(duì))希望能夠以某種方式推遲或者拖延不可避免的掃描。風(fēng)險所有者和修復(fù)職責(zé)是這個階段的主題。要度過這個階段，你必須確定掃描對業(yè)務(wù)的影響以及考慮自上而下地進(jìn)行掃描。確認(rèn)依存關(guān)系和定義移除障礙的責(zé)任是關(guān)鍵的成功因素。

4. 沮喪。 “我一直都保持及時修復(fù)補(bǔ)丁，但新的漏洞總是讓我們舉手無錯，我似乎無法取得任何進(jìn)展!”

在第四階段，支持團(tuán)隊(duì)開始明白可能出現(xiàn)新漏洞的必然性，以及問題的嚴(yán)重性。在這個階段，支持團(tuán)隊(duì)將會需要你的支持。他們將會想知道他們的努力確實(shí)取得了成果。一個有用的策略就是確保你的掃描和報告過程采取了風(fēng)險規(guī)避和降低風(fēng)險評分作為關(guān)鍵指標(biāo)。換句話說，如果你可以量化這些良好修復(fù)工作，那么支持團(tuán)隊(duì)將可以開始接受這樣的事實(shí)，即成功只需要一次努力，但是不斷進(jìn)行修復(fù)才能獲得長期的成功。

5. 接受。 “一切都會好起來，雖然我可能不能打敗它，但是我可以全面做好準(zhǔn)備。”

在這個最后階段，終于獲得了支持團(tuán)隊(duì)的理解，并且對于漏洞管理，他們將更好的集中在風(fēng)險問題上。一旦支持團(tuán)隊(duì)意識到這是一個長期持續(xù)的工作，并且掃描結(jié)果實(shí)際上是幫助識別風(fēng)險區(qū)域，他們通常都愿意部署更有意義的程序更改，而且更能夠幫助保護(hù)在其控制下的資產(chǎn)。

最后請注意：在這些階段中出現(xiàn)倒退是很正常的現(xiàn)象，但只要你充分地理解了這些行動背后的動機(jī)，你將能夠幫助支持團(tuán)隊(duì)最終接受漏洞管理。如果可能的話，在評估過程的初期階段讓責(zé)任方參與以幫助接好在所有這些階段中的負(fù)面影響。

原文出處：http://safe.it168.com/a2011/0119/1151/000001151959.shtml

【編輯推薦】

1. 甲骨文發(fā)布最新安全漏洞修復(fù)程序
2. 創(chuàng)建Java安全框架 避免Java漏洞被利用
3. 微軟修復(fù)關(guān)鍵Windows漏洞　發(fā)布臨時IE問題解決方案
4. 微軟發(fā)布新年首批安全補(bǔ)丁 暫未修復(fù)IE“圣誕”漏洞