了解構(gòu)建漏洞管理流程的內(nèi)容以及影響漏洞掃描程序選擇的關(guān)鍵參數(shù).

近年來，許多公司的 IT 基礎(chǔ)設(shè)施變得非常復(fù)雜。外圍出現(xiàn)了大量新的數(shù)字資產(chǎn)。在現(xiàn)代、不同的基礎(chǔ)設(shè)施中很容易忽略未修補的漏洞。毫無疑問，即使是一個未被注意到的問題也會被攻擊者發(fā)現(xiàn)和利用。犯罪分子會持續(xù)掃描互聯(lián)網(wǎng)，并有足夠的時間為他們的攻擊做準(zhǔn)備。

因此，確保組織得到保護(hù)的第一步是建立漏洞管理程序。它包括搜索和分類所有數(shù)字資產(chǎn)、評估網(wǎng)絡(luò)基礎(chǔ)設(shè)施和 Web 應(yīng)用程序的安全級別、提出修復(fù)已發(fā)現(xiàn)漏洞的建議，最后檢查這些建議的實施情況。

漏洞管理的本質(zhì)

毫無疑問，控制漏洞是必要的。據(jù)專家介紹，三分之二的 Web 應(yīng)用程序包含嚴(yán)重漏洞，黑客可以利用這些漏洞竊取機密數(shù)據(jù)并控制受攻擊系統(tǒng)的運行。一些公司的外圍有舊的但仍在工作的漏洞，如BlueKeep和EternalBlue，盡管幾年前發(fā)布了補丁。

幾乎在基礎(chǔ)架構(gòu)的每個部分都可以找到弱點，因此漏洞管理應(yīng)涵蓋不同的對象：

• 網(wǎng)絡(luò)基礎(chǔ)設(shè)施（外部周邊和本地網(wǎng)絡(luò)。）

• Web 應(yīng)用程序（企業(yè)門戶、客戶服務(wù)等）

• 進(jìn)程（例如，在網(wǎng)絡(luò)上運行的某些程序可能具有互連的接口。）

• 軟件分發(fā)。

決定掃描什么后，您需要決定如何掃描。目前市場上有多種漏洞管理實施方案。一些供應(yīng)商只提供沒有專業(yè)知識的掃描儀。其他供應(yīng)商可能會提供一系列服務(wù)，包括準(zhǔn)備報告。掃描儀可以位于云端或公司周邊。他們可以監(jiān)控有或沒有代理的主機。供應(yīng)商使用相當(dāng)多的不同數(shù)據(jù)源來補充他們的漏洞數(shù)據(jù)庫。

IT 周邊或云

部署掃描儀的主要方式有兩種：在公司周邊和云端。

第一個選項保證完全控制訪問（硬件和軟件）和獨立于第三方。但是，公司必須購買掃描儀本身和相應(yīng)的許可證。您還將在員工培訓(xùn)、掃描儀維護(hù)以及處理掃描結(jié)果的專門分析師上花錢。

云服務(wù)允許在掃描儀部署和維護(hù)上花費大量資源。該公司需要支付訪問掃描儀所在云的費用。由于虛擬化、負(fù)載平衡等，此選項還提供了高容錯性。同時，外部提供商的參與充滿了風(fēng)險。其服務(wù)質(zhì)量可能無法令人滿意。因此，選擇信譽良好的可靠合作伙伴至關(guān)重要。

掃描儀需要代理嗎？

有兩種基本的掃描機制：有代理和沒有代理。這兩個選項都與云服務(wù)和位于周邊的掃描儀相關(guān)。

代理作為服務(wù)或軟件托管在掃描端點（主機）上。他們收集有關(guān)這些主機的數(shù)據(jù)并定期將信息發(fā)送到主掃描儀。這種方法允許您監(jiān)控位于網(wǎng)絡(luò)外圍之外的設(shè)備（例如，在家工作的員工的筆記本電腦）。但是，只有當(dāng)設(shè)備連接到 Internet 時，才能獲取有關(guān)掃描結(jié)果的數(shù)據(jù)。此外，在未聯(lián)網(wǎng)的筆記本電腦上安裝代理（即員工不來辦公室也不使用 VPN）是一項挑戰(zhàn)。

此外，某些代理可能與某些操作系統(tǒng)不兼容。公司可能擁有在不受支持或?qū)Ｓ貌僮飨到y(tǒng)上運行的計算機。此外，購買每個掃描代理會變成額外費用。

由于不需要在設(shè)備上安裝軟件，因此無代理掃描允許您檢查本地托管的資產(chǎn)和外部邊界上的資產(chǎn)，而無需強加兼容性要求。此外，公司不會產(chǎn)生與代理網(wǎng)絡(luò)部署、支持和購買許可證相關(guān)的額外費用。但是，該技術(shù)要求所有掃描對象都連接到掃描儀。

并非每個掃描儀都提供漏洞管理

今天，信息安全市場可以提供大量與漏洞管理相關(guān)的工具。但是，不同的供應(yīng)商和信息安全提供商對此服務(wù)的解釋不同。作為漏洞管理，他們提供：

• 自我掃描軟件。

• 包括漏洞管理在內(nèi)的綜合信息安全服務(wù)。

• 漏洞管理服務(wù)。

當(dāng)組織購買掃描軟件時，它會購買自助服務(wù)工具。這是最昂貴的選擇。根據(jù)軟件所在的位置，公司會產(chǎn)生以下費用：

• 在您的基礎(chǔ)設(shè)施中放置掃描儀時，您需要為購買、安裝、設(shè)備支持和許可證付費。您還向全職信息安全和 IT 專家支付薪水。

• 將軟件放置在云中時，您需要為該云的維護(hù)和許可證付費。

另一種選擇是提供漏洞管理作為綜合網(wǎng)絡(luò)安全解決方案的一部分。這通常比自助服務(wù)便宜。另一方面，此類復(fù)雜解決方案中的漏洞管理功能通常會大大減少。

例如，您經(jīng)?？梢哉业綇?fù)雜的報價，例如信息安全審計，其中包括漏洞管理。但是審計是一次性的活動。只有通過這個過程的規(guī)律性才能實現(xiàn)掃描的有效性。否則，就不可能看到新漏洞出現(xiàn)的動態(tài)，制定消除它們的策略并監(jiān)控其實施。因此，在選擇此類服務(wù)時，必須了解它們的完整組成和解決的問題，并將它們與公司當(dāng)前的需求進(jìn)行比較。

最后，第三個選項是漏洞管理服務(wù)。在這種情況下，掃描儀托管在服務(wù)提供商的云中。它為處理和分析收集的數(shù)據(jù)提供維護(hù)和專家。此外，作為附加選項，一些供應(yīng)商會為客戶的內(nèi)部安全專家提供對掃描儀的訪問權(quán)限。

如果服務(wù)提供商提供高質(zhì)量的服務(wù)，那么這種方法對公司最有利，原因有很多。首先，可以用更少的錢獲得更好的技術(shù)。其次，服務(wù)提供商的專家可以訪問從其他服務(wù)收集的大規(guī)模最新漏洞數(shù)據(jù)庫。此外，該服務(wù)比專有軟件更靈活，因為您可以立即將新主機連接到它，而無需重新配置軟件和購買額外的許可證。最后，當(dāng)您自己掃描時，對結(jié)果的分析落在了一名全職安全員的肩上，除此之外，他還有其他任務(wù)。最后，準(zhǔn)備報告可能會花費大量時間。

掃描程序如何知道漏洞？

為了補充漏洞庫，可以使用各種數(shù)據(jù)庫（例如CVE ）。一些供應(yīng)商不考慮掃描對象的區(qū)域細(xì)節(jié)。因此，他們幾乎沒有關(guān)于例如由中國公司創(chuàng)建的軟件中的漏洞的信息。相反，區(qū)域供應(yīng)商通過訪問本地漏洞數(shù)據(jù)庫來考慮該地區(qū)使用的軟件的所有特性。這種掃描儀從國際來源獲取數(shù)據(jù)的速度和完整性明顯較低。

當(dāng)然，掃描儀可以同時使用本地和國際數(shù)據(jù)庫，但與如此多不同來源的持續(xù)同步是一項艱巨的任務(wù)。需要與不同國家的監(jiān)管機構(gòu)達(dá)成協(xié)議，實現(xiàn)不同來源的技術(shù)兼容，將資金用于訂閱許多數(shù)據(jù)庫的更新。因此，對于供應(yīng)商而言，在不深入研究當(dāng)?shù)丶?xì)節(jié)的情況下定義特定區(qū)域或在全球范圍內(nèi)工作會更容易且更有利可圖。

結(jié)論

如您所見，確實有很多漏洞管理實施選項。在從市場上的不同產(chǎn)品中進(jìn)行選擇時，公司應(yīng)考慮許多因素：其 IT 基礎(chǔ)架構(gòu)的構(gòu)建方式、區(qū)域特點、遠(yuǎn)程主機的數(shù)量、維護(hù)掃描儀的全職專家的可用性以及財務(wù)儲備用于購買自己的軟件。公司對這些問題的回答越清晰，信息安全流程就越成功。