让我们先从一个案例说起。某石油生产商设在远程站点隔离区(De-Militarize Zone,DMZ)中的系统服务器发出了警报。分析师们在研究后得出结论说:漏洞(vulnerability)扫描程序发现了重大的安全漏洞。IT组织部门在经过几个回合的电子邮件和电话交流后,在几分钟内就掌握了自己需要的信息。
当时的情况是这样的:出现漏洞问题的是报表转发系统,那些被转发的报表在转发之前将会接受用其他程序的方法复核。该系统没有包含过分敏感的信息,而且相对孤立,并未与任何重要的业务流程捆绑,所以其漏洞不会影响到邻近系统。由于该系统位于远程站点,要为该系统打补丁得派一位IT人员乘飞机专程跑一趟。该这家石油公司认为,派专人一位IT管理员专程去打补丁不仅麻烦,从费用上说也不合算。因此IT部门组织的解决方案是:将此次漏洞警报记录下来,在进度计划中预定下次IT人员对远程站点进行日常维护时,再让人顺便解决这个问题。
从这件事案例中,我们所得到的结论是教训:为了实现有效的漏洞管理,IT组织部门必须在考虑商业价值的前提下,合理运用风险管理原则和逻辑。
如今的系统漏洞可谓是层出不穷五花八门,令人防不胜防,比如企业自行开发的应用程序所包含的漏洞,基础设施中存在的缺陷(如安全保护措施不够完备的无线网络)以及还有以桌面终端用户为目标的网络攻击手段等等。如今现在的网络犯罪手段已经从唠唠叨叨、技术落后的网络“蠕虫”(worms)进化到了无影无形、技术先进、目标明确的恶意软件(malware)。
IT组织部门必须与业务单位通力合作,将企业的安全漏洞控制在可接受的风险容忍程度以内,创建将企业计算环境(computing environment)作为整体来处理的业务流程,并且选择合适的技术平台来支持这些流程。
有效的流程
有效的漏洞管理程序必须合理地对技术、商业智能和流程进行平衡。
必要的技术包括漏洞扫描软件,如迈克菲公司(McAfee)的FoundScan软件、夸利斯公司(Qualys)的QualysScan软件或泰纳宝网络安全公司(Tenable Network Security)的Nessus软件;应用程序扫描软件,如惠普公司(Hewlett-Packard)的WebInspect软件和国际商业机器公司(IBM)公司的AppScan软件;以及还有配置和补丁管理工具。然而,如果没有几个重要的漏洞管理流程领军的话,这些工具只是游兵散勇,起不了太大作用。
维护网络安全的一个重要流程是减少受攻击面(attack surface),也就是说减少企业IT系统暴露在外的部分。受攻击面这个术语既可以指的是应用程序或系统整体在容易受到各种途径的攻击面前所暴露的风险程度,也可以指系统作为整体容易受到攻击。企业经常综合使用网络设计演习(network design exercise)习惯做法、访问管理(access management)和配置管理等几大手段来以减少受攻击面。比如说例如,为了减少某系统的受攻击面,可以只将那些必需的服务暴露在网络上暴露,此外禁用或删除不必要的软件,以及并限制经授权可登录系统的用户数量。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
专家:有多少云计算风险可以避免?
IT服务供应商CDW公司的云技术专家Stephen Braat,日前分享了他对于云计算风险管理的看法。
-
CIO如何构建云服务管理框架?
云风险管理最重要的不在于云服务提供商本身,而是大企业缺乏一种针对云计算的统一框架。诸如数据隐私和安全等技术相关的云计算风险本身就处于快速的变化中,即使技术本身也因服务或提供商的不同而存在显著区别。
-
不能忽视的工作场合隐私保护
一个机构又该如何平衡保护个人隐私与满足某种调查目的而需要查看个人隐私之间的关系呢?TechTarget 执行编辑Linda Tucci将为我们带来她的见解。
-
四步打造成功的企业风险管理方案
Techtarget根据Forrester一份名为“风险管理手册”里的内容,并结合ISO 31000风险管理标准谈到的“设置环境”,为大家介绍制定风险管理方案的四个步骤。