【51CTO.com獨家特稿】用戶應(yīng)避免漏洞管理工具方面的常見錯誤，并且最充分地利用這種工具。

不要在補救方面偷工減料。

令人驚訝的是，雖然許多企業(yè)會進行漏洞掃描，或者請人來進行掃描，但得到一份報告后，卻沒有積極跟進，采取進一步的行動。許多企業(yè)可能會選擇一兩個關(guān)鍵的掃描結(jié)果，卻忽略了其余的掃描結(jié)果。這樣做的結(jié)果是，雖然企業(yè)花了大量的時間和金錢，但是對于加強安全幫助很小。

弗雷斯特研究公司的首席分析師Chenxi Wang說：“一些企業(yè)僅僅檢測一下就完事了。檢測結(jié)果只是告訴你面臨怎樣的狀況，但是對于降低安全風險幫助很小?！?BR>必須結(jié)合一種明確定義的變更控制流程，對漏洞和配置管理進行補救；這種流程應(yīng)得到漏洞管理工具的支持，并與你的控制機制（如故障單系統(tǒng)）緊密配合起來。漏洞管理工具不但應(yīng)通過漏洞和錯誤檢測來支持這種流程，還應(yīng)通過基于安全威脅嚴重程序和高危系統(tǒng)價值的風險評估來支持它。只有重新進行了掃描，證實補救措施已發(fā)揮效果（也就是說補丁已成功打上，或配置錯誤已被糾正），整個過程才完成，故障單才可以關(guān)閉。

安全顧問Shaheen Abdul Jabbar說：“一些企業(yè)非常積極主動，另一些企業(yè)卻非常消極被動。我見過這樣的事，安全工作人員進行了掃描，并將結(jié)果告訴了IT部門，但沒有回過頭去，檢查漏洞在下一次審查周期之前是不是已被補救?！?/P>

要使用掃描服務(wù)。

如果貴企業(yè)受制于要求定期請第三方掃描的監(jiān)管法規(guī)，那你無論如何沒得選擇。這種情況下，不要僅僅局限于滿足最低的監(jiān)管要求。應(yīng)將你的補救流程貫徹到底——優(yōu)秀的審查人員會要求這么做。

無論你在符合監(jiān)管要求方面負怎樣的義務(wù)，軟件即服務(wù)（SaaS）和托管服務(wù)對漏洞管理來說都是切實可行的選擇。幾家知名服務(wù)提供商高度關(guān)注或者甚至完全關(guān)注服務(wù)，這讓它們可以替代或補充內(nèi)部掃描。從本質(zhì)上來說，SaaS服務(wù)關(guān)注的是面向公眾的系統(tǒng)；為了進行更全面的掃描，服務(wù)提供商會將黑盒子設(shè)備裝在客戶網(wǎng)絡(luò)上，報告掃描結(jié)果。

一些企業(yè)有所顧慮，不允許掃描后收集而來的這一切數(shù)據(jù)與企業(yè)外面的人共享。你要確保，數(shù)據(jù)得到了強加密的保護（借助可靠的密鑰管理）；只有貴企業(yè)授權(quán)的人員才可以訪問那些數(shù)據(jù)，服務(wù)提供商的任何員工都無權(quán)訪問。

另外，確保認證掃描所需的身份憑證得到了嚴格保護，或借助服務(wù)提供商自身的技術(shù)，或借助優(yōu)秀的特權(quán)身份管理產(chǎn)品。作為一項服務(wù)的漏洞管理可以節(jié)省資本開支、管理費用和人手。

此外，應(yīng)考慮請來顧問或服務(wù)提供商（至少應(yīng)定期這么做），以補充貴企業(yè)的內(nèi)部掃描，起到查漏補缺的作用。請來公正的外人可防止任何內(nèi)部人員的偏見，或者防止出現(xiàn)為保護自身利益而致使掃描報告內(nèi)容不全的情況。

要堅持使用實用的報告。

這適用于多個層面。當然在最高層面，你需要趨勢分析和整體狀況報告，好拿給管理人員過目。在安全層面，漏洞管理工具應(yīng)提供關(guān)于漏洞嚴重程度的信息，基于常見漏洞和披露（CVE）列表或通用漏洞評分系統(tǒng)（CVSS）這樣的標準，并結(jié)合企業(yè)對于該資產(chǎn)的重視程度這個權(quán)重。報告應(yīng)告訴你什么是薄弱的，有多薄弱，風險又有多高。對于負責補救工作的人來說，操作報告應(yīng)簡明扼要、面向任務(wù)。

補丁和配置變更工作通常由網(wǎng)絡(luò)操作人員和系統(tǒng)管理員來進行。他們并不是安全專業(yè)人員，所以應(yīng)從補丁和配置變革方面，而不是從漏洞方面來描述報告和指示。

審查報告應(yīng)清楚地表明：漏洞或配置錯誤已檢測出來，風險已得到評估，故障單已開啟，故障單在問題得到補救后已關(guān)閉，以及補救工作得到了最后掃描的驗證。

最后，報告應(yīng)該能夠稍加改動同一部分數(shù)據(jù)，即可滿足不同的需要——有的報告針對企業(yè)的不同部門和不同類型的受眾，有的報告針對不同內(nèi)容的監(jiān)管法規(guī)，等等。

邁克菲公司主管風險和合規(guī)的高級集團經(jīng)理Gary Davis說：“在過去，每次為了生成報告，你就得重新掃描一下；但實際上你需要的是掃描一次、生成多份報告的模式，那樣用不著為了每次生成報告而需要掃描?！?/P>

要將漏洞管理工具與其他安全工具集成起來。

安全信息和事件管理（SIEM）是首要的安全工具。漏洞管理工具為作為整體風險管理計劃一部分的SIEM提供了關(guān)鍵的信息來源。一旦某個漏洞或配置問題檢測出來，相關(guān)信息就應(yīng)該饋送給SIEM工具，與來自其他信息源（如防火墻和入侵防護系統(tǒng)）的信息關(guān)聯(lián)起來。

漏洞管理工具還要與入侵防護系統(tǒng)集成起來，這種系統(tǒng)可以利用資產(chǎn)庫存和漏洞信息，確定哪些攻擊真正帶來了重大威脅，而哪些攻擊可以放心地忽略。如果漏洞管理工具包括了應(yīng)用程序掃描功能，那么掃描結(jié)果可用來創(chuàng)建或修改Web應(yīng)用防火墻的保護規(guī)則。

原文鏈接：http://www.networkworld.com/news/2011/021411-vulnerability-management-tools-dos-and.html

【51CTO.com獨家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. 社會工程學攻擊的三個典例
2. 2010年揚名的十大WEB黑客技術(shù)
3. 保障中小企業(yè)安全的十大最佳實踐
4. 以牙還牙是對付網(wǎng)絡(luò)攻擊的解決之道嗎？