漏洞管理產(chǎn)品是如何工作的?在評估廠商漏洞管理產(chǎn)品時，企業(yè)信息安全專業(yè)人員該著重看哪些要素?

漏洞管理表明了安全漏洞存在于每個組織機構中。每天大量的操作系統(tǒng)、應用以及基礎設施的安全警報意味著你的企業(yè)很可能有潛在的安全問題，且尚未被發(fā)現(xiàn)?，F(xiàn)實是你的企業(yè)的IT環(huán)境存有漏洞，而你的團隊還尚未修正好的時候，下一波問題已然來臨。

漏洞管理工具幫助信息安全團隊走在安全問題的前頭。它們結合了先進的漏洞檢測能力及優(yōu)先級算法，以幫助企業(yè)識別需要立即關注的問題，這樣，企業(yè)就可以更加專注于那些能導致泄漏事故的漏洞上去。

那么，如何為你的企業(yè)挑選最佳的漏洞管理工具呢?你需要了解漏洞管理是如何橋接到企業(yè)安全中的，也要知道漏洞管理系統(tǒng)必須要具備的特性。

漏洞管理工具工作原理

廠商漏洞數(shù)據(jù)庫是漏洞管理產(chǎn)品的基礎。這個頻繁更新的數(shù)據(jù)庫包括廠商安全研究組所知曉的每個安全漏洞。同時，它也包括讓掃描儀探測網(wǎng)絡系統(tǒng)中漏洞的測試信息。

通常，漏洞管理產(chǎn)品要先對網(wǎng)絡資產(chǎn)進行梳理?？赡軙研畔幕顒幽夸浕颥F(xiàn)有資產(chǎn)管理系統(tǒng)中調(diào)出來，并將信息和對活動IP地址進行的高水平網(wǎng)絡掃描的結果結合起來。一旦它確定了系統(tǒng)處在一個怎樣的網(wǎng)絡中，它就會對每個系統(tǒng)進行一次基本掃描，來識別運行在主機上的操作系統(tǒng)及應用程序。然后，漏洞管理工具返到漏洞數(shù)據(jù)庫中，去檢索可能影響主機的漏洞信息，并開始執(zhí)行系統(tǒng)測試來揪出潛在的漏洞。

掃描一完成，好戲就開始了。通常，安全專家都會對掃描感到頭疼，因為掃描結果往往提示出成百上千的配置缺陷。漏洞管理系統(tǒng)的真正力量在于它能幫助安全團隊整理信息的泥沼，優(yōu)先考慮能對組織機構安全態(tài)勢造成影響的活動。它通過綜合漏洞嚴重程度和影響程度、系統(tǒng)的優(yōu)先級和任何可能存在的合規(guī)問題等信息來實現(xiàn)這種整理與篩選。這種優(yōu)先級就是將一個簡單的漏洞掃描器轉換成一個強大的漏洞管理平臺。

漏洞管理產(chǎn)品特性

漏洞管理工具市場已經(jīng)非常成熟，有很多高質(zhì)量產(chǎn)品幫助安全專家完成鑒定和修復任務。當你為企業(yè)環(huán)境進行產(chǎn)品評估時，應先廣撒網(wǎng)，確定幾種不同的產(chǎn)品。如果不是親自驗證，你無法對一個產(chǎn)品擁有實戰(zhàn)經(jīng)驗。

在產(chǎn)品評估階段最為重要的一個標準是用戶體驗。特別是當你的拓展計劃超出了信息安全團隊和系統(tǒng)工程師的對安全產(chǎn)品的理解范圍時，這顯得尤為重要。如果他們發(fā)現(xiàn)產(chǎn)品使用起來很困難，那么你想在企業(yè)中應用該產(chǎn)品也必將困難重重。

下面是評估漏洞管理工具時需要考量的其他重要的特性：

質(zhì)量和更新速度。廠商發(fā)布新版本的頻率如何?它們能否精確檢測漏洞?你可以選取一個最新的、知名度較高的漏洞，來看漏洞發(fā)布與廠商更新的時間差。這要花多久?

與你的企業(yè)環(huán)境的兼容度。廠商的漏洞數(shù)據(jù)庫是否包括你企業(yè)中的所有主要的應用、操作系統(tǒng)以及基礎設施?

是否支持云服務。產(chǎn)品是否能檢測出在IaaS、PaaS和SaaS環(huán)境下的問題?

合規(guī)性。產(chǎn)品是否為你的企業(yè)合規(guī)項目提供支持?如果你受PCI DSS所約束，你能否使用該產(chǎn)品來執(zhí)行所需要的掃描以及完整的自我評估?

優(yōu)先級。根據(jù)優(yōu)先算法什么樣的信息因素會被列出來?它是否同時支持自動優(yōu)先級和手動配置，以滿足你更高效地使用產(chǎn)品實現(xiàn)預期目標?

主動和被動檢測。產(chǎn)品是否集成了傳統(tǒng)的主動系統(tǒng)掃描與基于網(wǎng)絡流量檢測而進行的被動漏洞檢測?產(chǎn)品是否允許在系統(tǒng)上安裝代理執(zhí)行自動掃描以降低錯檢率?

修復指南。產(chǎn)品可以為識別出的漏洞提供什么樣的修復指南?當你看產(chǎn)品報告時，它是否提供了足夠的信息來幫助你修復漏洞?或者說，你是否還需要其他額外的研究?

廠商支持。合同上有寫明廠商支持嗎?廠商承諾的響應時間是?

你可以使用上述這個特性清單拉開選擇產(chǎn)品的帷幕。你也可以衍生出自己的優(yōu)先級列表，并為適用于你企業(yè)的產(chǎn)品進行排名。

結論

漏洞管理工具首先會盤點你面臨的安全問題，而后根據(jù)嚴重程度、曝光度、合規(guī)狀況和數(shù)據(jù)分類幫你為這些問題排出優(yōu)先級。這些工具會幫助安全專家們爭取修復時間，并讓他們更為專注于那些更需要迫切解決的問題上去。