我們的計(jì)算機(jī)中,現(xiàn)在都會(huì)安裝殺毒軟件,如瑞星、金山毒霸和卡巴斯基等;我們還會(huì)安裝一種查殺惡意件或者流氓件的軟件,如360安全衛(wèi)士、金山衛(wèi)士、超級(jí)兔子等,目的是防止木馬、漏洞、惡意件對(duì)電腦的攻擊、機(jī)密獲取和騷擾信息等。
同樣,現(xiàn)在的問題延伸到網(wǎng)絡(luò)上,是否有這樣的軟件可以幫助公司的IT或者網(wǎng)管人員,時(shí)刻或者經(jīng)常查找和發(fā)現(xiàn)局域網(wǎng)上的漏洞?答案是肯定的,它被稱為漏洞評(píng)估(VA)軟件。用戶也在呼喊:“我不想成為下一個(gè)被黑的公司!”那么我們?cè)趺粗澜裉煺嬲耐{在哪里呢?這也正是我們今天要探討的話題。
漏洞評(píng)估關(guān)注哪些安全?
結(jié)合漏洞管理、滲透測(cè)試和風(fēng)險(xiǎn)確認(rèn)這三種方法,能夠大大減少用戶系統(tǒng)和網(wǎng)絡(luò)中的風(fēng)險(xiǎn)。在開發(fā)漏洞查找技術(shù)時(shí),“要像攻擊者一樣思考”。因?yàn)楣粽邥?huì)從用戶的防御中尋找任何可能的漏洞,我們要從最常見的地方,發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)。
· 網(wǎng)絡(luò)安全
確保所有系統(tǒng)和網(wǎng)絡(luò)設(shè)備對(duì)可能的漏洞和不正確配置已進(jìn)行了適當(dāng)?shù)臏y(cè)試,最大限度地減少安全的隱患。
· 數(shù)據(jù)庫安全
確保用戶數(shù)據(jù)庫的安全,一是防止非法人員入侵;二是保證數(shù)據(jù)庫配置正確,達(dá)到規(guī)范的要求。
· Web 應(yīng)用安全
防止像SQL注入和跨站腳本(CSS/XSS)類似的嚴(yán)重威脅,保護(hù)用戶的Web應(yīng)用服務(wù)器和Web應(yīng)用(包括Adobe公司的Flash應(yīng)用)。
· 虛擬化安全
因?yàn)橛脩舻幕A(chǔ)架構(gòu)增長(zhǎng)非常迅速,需要不斷地發(fā)現(xiàn)和分類新的資產(chǎn),然后掃描和跟蹤虛擬化資產(chǎn),把最新的風(fēng)險(xiǎn)加入到用戶可視化的報(bào)警中。
· 安全配置評(píng)估
對(duì)系統(tǒng)配置和網(wǎng)絡(luò)漏洞掃描,能夠生成評(píng)估文件,可用于內(nèi)部和外部審計(jì),同時(shí)支撐用戶IT的防衛(wèi)。
· 滲透測(cè)試和風(fēng)險(xiǎn)確認(rèn)
識(shí)別已證實(shí)的安全威脅,找出用戶系統(tǒng)中的風(fēng)險(xiǎn)漏洞,實(shí)施高效的風(fēng)險(xiǎn)補(bǔ)救措施。
建議用戶結(jié)合漏洞管理和滲透測(cè)試的方法,使用閉環(huán)安全智能解決方案。同時(shí)要考慮安保方案要與現(xiàn)有的IT架構(gòu)容易集成,幫助用戶快速識(shí)別最大的威脅,提供高效的安保方案,幫助用戶達(dá)到公司制定的規(guī)范標(biāo)準(zhǔn)。
使用漏洞評(píng)估軟件,用戶可以得到哪些收益?
· 保證IT架構(gòu)和企業(yè)資產(chǎn)的安全
現(xiàn)在的網(wǎng)絡(luò)罪犯比任何時(shí)候要狡猾。竊取的信息可能對(duì)用戶的生產(chǎn)制造和商業(yè)利益構(gòu)成巨大威脅,用戶建立有效的安全策略和措施能確保企業(yè)運(yùn)行的安全。
· 測(cè)量和降低風(fēng)險(xiǎn)
要預(yù)先、連續(xù)地進(jìn)行安全評(píng)估和測(cè)量。使用一種閉環(huán)回路安保智能方案,可以減少和預(yù)防風(fēng)險(xiǎn)的發(fā)生。安保智能使用4項(xiàng)參數(shù)考核與測(cè)量風(fēng)險(xiǎn):揭露、可能、影響和減緩。
· 提高用戶IT和安防團(tuán)隊(duì)的效率
安防和網(wǎng)絡(luò)運(yùn)行團(tuán)隊(duì)有時(shí)間和預(yù)算的限制。通過自動(dòng)化和優(yōu)先級(jí)劃分,團(tuán)隊(duì)按補(bǔ)救措施的優(yōu)先級(jí),完成補(bǔ)丁、可下載修復(fù)程序修復(fù)漏洞,改正錯(cuò)誤配置,使整個(gè)企業(yè)提高生產(chǎn)率。
· 保護(hù)用戶的虛擬環(huán)境
針對(duì)虛擬環(huán)境的安防策略、規(guī)程和能力保護(hù)用戶在虛擬件上的投資。確保用戶在虛擬化中獲得利益,而不是增加復(fù)雜性。
現(xiàn)在市場(chǎng)上有哪些廠家或產(chǎn)品?
· 邁克菲(McAfee)
邁克菲是一家純做安全的供應(yīng)商,從網(wǎng)絡(luò)安全到桌面安全,具有豐富的產(chǎn)品種類。英特爾(Intel)宣布在2010年計(jì)劃收購邁克菲,并在2011年的2月完成收購。邁克菲現(xiàn)在是英特爾公司的全資子公司,還將繼續(xù)用邁克菲的品牌開發(fā)安全產(chǎn)品。 邁克菲的漏洞管理器(MVM)是一款已經(jīng)發(fā)布的軟件,可為用戶提供一種工具或者管理服務(wù)。MVM可以與其他邁克菲產(chǎn)品集成,諸如ePolicy Orchestrator(ePO)管控臺(tái)。
· nCircle
套件360漏洞管理產(chǎn)品包括了IP360漏洞掃描引擎、WebApp360應(yīng)用掃描器、智能中心、配置管理器和文件監(jiān)視器。提供的服務(wù)包括一個(gè)PCI外部掃描和一個(gè)周圍掃描服務(wù)。nCircle套件組件具有多種軟件、器具、虛擬器具和基于服務(wù)的配置,它們可以一起使用。
· Qualys
Qualys衛(wèi)士安全和遵從套件是完全基于服務(wù)、由Qualys主機(jī)掃描引擎發(fā)動(dòng)的外圍掃描和由前提工具發(fā)動(dòng)的內(nèi)部掃描。漏洞、報(bào)告、標(biāo)準(zhǔn)配置模板的內(nèi)容升級(jí)、所有軟件和掃描引擎的升級(jí),都由Qualys自動(dòng)完成。客戶通過基于Web的門戶網(wǎng)站,管理他們自己的掃描、報(bào)告和工作流。在2010年的8月,Qualys收購了Nemean網(wǎng)絡(luò)公司,提高公司研究實(shí)時(shí)威脅的能力。
· Rapid7
NeXpose漏洞評(píng)估掃描產(chǎn)品可以有幾種方式提供:軟件、器具、虛擬器具、膝上機(jī)/移動(dòng)設(shè)備和管理服務(wù)。客戶可以把這些產(chǎn)品和服務(wù)組件混合一起使用。Rapid7在2009年收購了開放源碼metasploit框架滲透測(cè)試引擎 ,在2010年發(fā)布了它的商業(yè)版本。Rapid7是一家早期的應(yīng)用和數(shù)據(jù)庫漏洞評(píng)估供應(yīng)商 ,致力于漏洞的確認(rèn)和判定,新的metasploit技術(shù)增強(qiáng)了產(chǎn)品的競(jìng)爭(zhēng)實(shí)力。
除了上面介紹的4家產(chǎn)品,還有像Beyond Security,Critical Watch,Digital Defense,eEye Digital Security,Lumension Security,Saint,StillSecure,Tenable Network Security,Trustwave等廠家或產(chǎn)品。
漏洞評(píng)估關(guān)注哪些行業(yè)?
· 能源與基礎(chǔ)設(shè)施
保護(hù)電力、通信、交通、住宅、樓宇等不受攻擊。
· 銀行和金融業(yè)
保護(hù)個(gè)人的財(cái)務(wù)和財(cái)產(chǎn)的數(shù)據(jù)。
· 政府部門
防止國(guó)家、政府關(guān)鍵和敏感信息的竊取和丟失。
· 健康
保護(hù)企業(yè)員工、客戶和患者的健康信息。
· 公司
保證公司業(yè)務(wù)的正常運(yùn)行,保護(hù)公司的商業(yè)機(jī)密和設(shè)備資產(chǎn)。
· 商業(yè)
保護(hù)客戶個(gè)人財(cái)務(wù)數(shù)據(jù)和商業(yè)單位的財(cái)產(chǎn)損失。
總之,對(duì)于系統(tǒng)和網(wǎng)絡(luò)漏洞我們要“未雨綢繆”,借助漏洞評(píng)估這項(xiàng)技術(shù),提前發(fā)現(xiàn)問題,提前解決問題,保證我們的社會(huì)能夠平穩(wěn)地運(yùn)行。
(羅克韋爾自動(dòng)化(中國(guó))有限公司 華镕)
