我們的計算機(jī)中,現(xiàn)在都會安裝殺毒軟件,如瑞星、金山毒霸和卡巴斯基等;我們還會安裝一種查殺惡意件或者流氓件的軟件,如360安全衛(wèi)士、金山衛(wèi)士、超級兔子等,目的是防止木馬、漏洞、惡意件對電腦的攻擊、機(jī)密獲取和騷擾信息等。
同樣,現(xiàn)在的問題延伸到網(wǎng)絡(luò)上,是否有這樣的軟件可以幫助公司的IT或者網(wǎng)管人員,時刻或者經(jīng)常查找和發(fā)現(xiàn)局域網(wǎng)上的漏洞?答案是肯定的,它被稱為漏洞評估(VA)軟件。用戶也在呼喊:“我不想成為下一個被黑的公司!”那么我們怎么知道今天真正的威脅在哪里呢?這也正是我們今天要探討的話題。
漏洞評估關(guān)注哪些安全?
結(jié)合漏洞管理、滲透測試和風(fēng)險確認(rèn)這三種方法,能夠大大減少用戶系統(tǒng)和網(wǎng)絡(luò)中的風(fēng)險。在開發(fā)漏洞查找技術(shù)時,“要像攻擊者一樣思考”。因為攻擊者會從用戶的防御中尋找任何可能的漏洞,我們要從最常見的地方,發(fā)現(xiàn)系統(tǒng)的弱點。
· 網(wǎng)絡(luò)安全
確保所有系統(tǒng)和網(wǎng)絡(luò)設(shè)備對可能的漏洞和不正確配置已進(jìn)行了適當(dāng)?shù)臏y試,最大限度地減少安全的隱患。
· 數(shù)據(jù)庫安全
確保用戶數(shù)據(jù)庫的安全,一是防止非法人員入侵;二是保證數(shù)據(jù)庫配置正確,達(dá)到規(guī)范的要求。
· Web 應(yīng)用安全
防止像SQL注入和跨站腳本(CSS/XSS)類似的嚴(yán)重威脅,保護(hù)用戶的Web應(yīng)用服務(wù)器和Web應(yīng)用(包括Adobe公司的Flash應(yīng)用)。
· 虛擬化安全
因為用戶的基礎(chǔ)架構(gòu)增長非常迅速,需要不斷地發(fā)現(xiàn)和分類新的資產(chǎn),然后掃描和跟蹤虛擬化資產(chǎn),把最新的風(fēng)險加入到用戶可視化的報警中。
· 安全配置評估
對系統(tǒng)配置和網(wǎng)絡(luò)漏洞掃描,能夠生成評估文件,可用于內(nèi)部和外部審計,同時支撐用戶IT的防衛(wèi)。
· 滲透測試和風(fēng)險確認(rèn)
識別已證實的安全威脅,找出用戶系統(tǒng)中的風(fēng)險漏洞,實施高效的風(fēng)險補(bǔ)救措施。
建議用戶結(jié)合漏洞管理和滲透測試的方法,使用閉環(huán)安全智能解決方案。同時要考慮安保方案要與現(xiàn)有的IT架構(gòu)容易集成,幫助用戶快速識別最大的威脅,提供高效的安保方案,幫助用戶達(dá)到公司制定的規(guī)范標(biāo)準(zhǔn)。
使用漏洞評估軟件,用戶可以得到哪些收益?
· 保證IT架構(gòu)和企業(yè)資產(chǎn)的安全
現(xiàn)在的網(wǎng)絡(luò)罪犯比任何時候要狡猾。竊取的信息可能對用戶的生產(chǎn)制造和商業(yè)利益構(gòu)成巨大威脅,用戶建立有效的安全策略和措施能確保企業(yè)運(yùn)行的安全。
· 測量和降低風(fēng)險
要預(yù)先、連續(xù)地進(jìn)行安全評估和測量。使用一種閉環(huán)回路安保智能方案,可以減少和預(yù)防風(fēng)險的發(fā)生。安保智能使用4項參數(shù)考核與測量風(fēng)險:揭露、可能、影響和減緩。
· 提高用戶IT和安防團(tuán)隊的效率
安防和網(wǎng)絡(luò)運(yùn)行團(tuán)隊有時間和預(yù)算的限制。通過自動化和優(yōu)先級劃分,團(tuán)隊按補(bǔ)救措施的優(yōu)先級,完成補(bǔ)丁、可下載修復(fù)程序修復(fù)漏洞,改正錯誤配置,使整個企業(yè)提高生產(chǎn)率。
· 保護(hù)用戶的虛擬環(huán)境
針對虛擬環(huán)境的安防策略、規(guī)程和能力保護(hù)用戶在虛擬件上的投資。確保用戶在虛擬化中獲得利益,而不是增加復(fù)雜性。
現(xiàn)在市場上有哪些廠家或產(chǎn)品?
· 邁克菲(McAfee)
邁克菲是一家純做安全的供應(yīng)商,從網(wǎng)絡(luò)安全到桌面安全,具有豐富的產(chǎn)品種類。英特爾(Intel)宣布在2010年計劃收購邁克菲,并在2011年的2月完成收購。邁克菲現(xiàn)在是英特爾公司的全資子公司,還將繼續(xù)用邁克菲的品牌開發(fā)安全產(chǎn)品。 邁克菲的漏洞管理器(MVM)是一款已經(jīng)發(fā)布的軟件,可為用戶提供一種工具或者管理服務(wù)。MVM可以與其他邁克菲產(chǎn)品集成,諸如ePolicy Orchestrator(ePO)管控臺。
· nCircle
套件360漏洞管理產(chǎn)品包括了IP360漏洞掃描引擎、WebApp360應(yīng)用掃描器、智能中心、配置管理器和文件監(jiān)視器。提供的服務(wù)包括一個PCI外部掃描和一個周圍掃描服務(wù)。nCircle套件組件具有多種軟件、器具、虛擬器具和基于服務(wù)的配置,它們可以一起使用。
· Qualys
Qualys衛(wèi)士安全和遵從套件是完全基于服務(wù)、由Qualys主機(jī)掃描引擎發(fā)動的外圍掃描和由前提工具發(fā)動的內(nèi)部掃描。漏洞、報告、標(biāo)準(zhǔn)配置模板的內(nèi)容升級、所有軟件和掃描引擎的升級,都由Qualys自動完成。客戶通過基于Web的門戶網(wǎng)站,管理他們自己的掃描、報告和工作流。在2010年的8月,Qualys收購了Nemean網(wǎng)絡(luò)公司,提高公司研究實時威脅的能力。
· Rapid7
NeXpose漏洞評估掃描產(chǎn)品可以有幾種方式提供:軟件、器具、虛擬器具、膝上機(jī)/移動設(shè)備和管理服務(wù)。客戶可以把這些產(chǎn)品和服務(wù)組件混合一起使用。Rapid7在2009年收購了開放源碼metasploit框架滲透測試引擎 ,在2010年發(fā)布了它的商業(yè)版本。Rapid7是一家早期的應(yīng)用和數(shù)據(jù)庫漏洞評估供應(yīng)商 ,致力于漏洞的確認(rèn)和判定,新的metasploit技術(shù)增強(qiáng)了產(chǎn)品的競爭實力。
除了上面介紹的4家產(chǎn)品,還有像Beyond Security,Critical Watch,Digital Defense,eEye Digital Security,Lumension Security,Saint,StillSecure,Tenable Network Security,Trustwave等廠家或產(chǎn)品。
漏洞評估關(guān)注哪些行業(yè)?
· 能源與基礎(chǔ)設(shè)施
保護(hù)電力、通信、交通、住宅、樓宇等不受攻擊。
· 銀行和金融業(yè)
保護(hù)個人的財務(wù)和財產(chǎn)的數(shù)據(jù)。
· 政府部門
防止國家、政府關(guān)鍵和敏感信息的竊取和丟失。
· 健康
保護(hù)企業(yè)員工、客戶和患者的健康信息。
· 公司
保證公司業(yè)務(wù)的正常運(yùn)行,保護(hù)公司的商業(yè)機(jī)密和設(shè)備資產(chǎn)。
· 商業(yè)
保護(hù)客戶個人財務(wù)數(shù)據(jù)和商業(yè)單位的財產(chǎn)損失。
總之,對于系統(tǒng)和網(wǎng)絡(luò)漏洞我們要“未雨綢繆”,借助漏洞評估這項技術(shù),提前發(fā)現(xiàn)問題,提前解決問題,保證我們的社會能夠平穩(wěn)地運(yùn)行。
(羅克韋爾自動化(中國)有限公司 華镕)
