為了在當今市場中保持競爭力,企業使用與 Internet 相連的網路,為員工提供快速、有效的工具來完成工作。員工不僅能夠更有效地相互溝通,也可以接觸到世界各地的客戶。電腦網路的優點有很多;然而出現缺陷失敗卻可能是毀滅性的。為了應對IT架構快速變革的趨勢,資訊安全專業人員首要挑戰,便是將漏洞管理轉換為能夠應對風險的方案。ISO 27002 標準中將漏洞定義為"資產可以被一個或多個威脅利用的的弱點"。弱點管理是IT 系統中識別並評估這些漏洞可能的風險處理程序。如果確實施並定期進行檢討調整,依組織需求調整傳統管理模式,用現代方法進行漏洞管理。以下將討論實務可行的較佳解決方案。
進行弱點管理的第一步是弱點掃描?
漏洞管理一詞通常與漏洞掃描混淆。儘管兩者是相互關聯的,但兩者之間有重要的區別。漏洞掃描包括使用電腦程式來識別網路上、電腦上或應用程式中的漏洞。而漏洞管理是完整的過程,包含掃描後對發現的弱點,進行補救修正措施或考慮接受風險等;修正之後還須定期重新掃描的持續性工作。
第一步應該就是掃描? 大部分的弱點管理專業建議都會這麼說。市面上存在很多功能強大的弱點掃描工具,看似十分周全理想,它們甚至還會自動修補 (機碼修改或Patch安裝)。但通常他們的對象是,提供對外服務或內部重要系統伺服器。如果拿這個來管理修補一般使用者PC,就有點不切實際,時間與管理成本可能都無法被接受。所以實施漏洞管理首要先確定目標與範圍。是計畫把所有端點電腦,網路設備,內部服務伺服器,外部服務伺服器都納入,還是針對特定屬性的伺服器? 在決定哪些目標需要被納入之前,先要盤點所有的IT資產,才能掌握所有資產的狀態。
弱點掃描方式的選擇
掃描工具所提供的掃描方式,視其機制而定,可能也同時支援多種。
- 網路掃描型
網路型是透過網路掃描網段上的目標裝置。網路掃描程式能夠列舉逐一探測打開的埠、識別在這些埠上執行的服務、模擬滲透攻擊並揭示這些服務相關的可能漏洞。可惜的是這個特性必須目標配合,ICMP 回應、防火牆放行等,與大部分單位的資安政策相牴觸。另一個現實問題,由於依IP逐一掃瞄,依通信埠逐一列舉的方式,再加上探測腳本,使用時間必然相當可觀。因此,通常這樣的掃瞄被安排成每隔數個月才執行,這代表存在著一段空窗期。另外一個問題是,透過有限而不齊的探索資訊,其誤判率也高,如作業系統判斷之類。 - 主機掃描型
主機型是利用主機上安裝或執行掃描程式。主機型的掃描程式能夠發現識別系統層級漏洞,包括不正確的檔案權限、機碼表權限和安裝的軟體。此外,它們可確保目標系統符合組織預先定義的安全性原則。與網路型的掃描程式不同,主機掃描代理程式需要安裝或執行於目標系統上,具備管理者權限或系統權限,以存取主機上相關的檔案及應用程式。故須考慮代理程式與作業系統相容性。 - 腳本程序試探
進階的弱掃工具也提供了預先編寫好的腳本程序,依照掃描的弱點結果進行滲透攻擊試探。沒有發現漏洞的相對應腳本會自動跳過。這樣不單是發現弱點,還可以進一步試探弱點被利用後成功滲透可能性。 - CPE 資產名稱比對識別
Common Platform Enumeration (CPE) 現在已被認為是個業界標準,用來提供統一的描述方式,顯示有關作業系統,硬體和軟體的資訊。它可以識別並詳列清單,在各種不同的產品、版本之間進行追踪,更有效明確的管理已知漏洞。
盤點資產現況,修補漏洞
弱點來源分成幾方面,一是硬體缺陷,二是軟體、作業系統,三是網路通信協定。其中網路通信協定有可能含有先天設計瑕疵,不是能靠修補就可以修正,而需要設計其他環節來保護。相較於軟體,硬體瑕疵的修正較難,但大部分軟硬體則還是可以靠韌體更新、軟體修補程式來改善。
- 軟體資產收集
首要任務便是徹底盤點所有軟硬體資產,利用IT 管理工具可以收集有關已安裝產品的資訊,使用其 CPE 名稱識別這些產品,然後使用此標準化資訊描述,協助全自動或部分自動化判斷決策。例如,識別出安裝了 某XYZ 視覺化企業套裝軟體,則可能會觸發漏洞管理工具,以檢查軟體中是否存在已知漏洞。並觸發設定管理工具,以驗證軟體是否根據組織的政策進行安全設定。也許軟體本身設計並沒有問題,而是操作人員誤設定 (misconfiguration),或未調整預設值所致。利用CPE 比對識別已安裝的軟硬體名稱,再利用Common Vulnerabilities and Exposures (CVE) CVE 查詢比對弱點。CVE系統為公開已知的資訊安全性漏洞與暴險的參考列表,目前仍由美國國土安全部出資維護。於本機端具備代理程式 (agent)來監測所有軟硬體異動,確實能在第一時間掌握資產的弱點及更新狀況,比起網路掃描的方式,空窗明顯小很多。但缺點是會受到所支援的作業系統平台影響,各個平台的實作詳細度也不一。
- 修補尚未完成,IT 仍須努力
確保公司系統安全且無漏洞,對於企業的持續發展成長至關重要。 IT 專業人員為組織提供識別修復系統漏洞的工具,和資訊安全意識教育是防禦的最佳實務。遺憾的是,組織資訊環境中的安全是一種動態過程,IT 專業人員必須時刻保持警惕,慎選工具與方法。定期對公司系統和服務主機進行漏洞評估,確保這些系統漏洞不被曝露利用,並且符合安全性原則。