很多人應(yīng)該都記得2003年“蠕蟲的一年”，在那年的1月25日，我們看到了SQL Slammer蠕蟲攻下了整個(gè)美國的自動(dòng)提款機(jī)，同時(shí)感染了全球范圍內(nèi)數(shù)百萬臺(tái)個(gè)人電腦和服務(wù)器，該蠕蟲病毒利用了微軟SQL服務(wù)器中的漏洞，事實(shí)上，微軟早在攻擊發(fā)生前的六個(gè)月就已經(jīng)發(fā)布了這個(gè)修復(fù)程序。

當(dāng)年晚些時(shí)候，Blaster蠕蟲病毒則利用了一個(gè)月前剛剛修復(fù)的漏洞。這種趨勢(shì)越來越明顯：發(fā)現(xiàn)漏洞和利用漏洞的惡意軟件出現(xiàn)之間的時(shí)間越來越短。隨著而來的是，漏洞管理新時(shí)代的誕生，企業(yè)們瘋狂地掃描他們的網(wǎng)絡(luò)查找有漏洞的設(shè)備。

在信息安全領(lǐng)域經(jīng)常就是這樣的情況，只有在真正發(fā)生嚴(yán)重事故后，才會(huì)采取行動(dòng)。隨著Slammer和Blaster的出現(xiàn)，IT安全部門就能夠拿出令人信服的案例來說服管理層部署企業(yè)級(jí)別的網(wǎng)絡(luò)掃描技術(shù)，從而發(fā)現(xiàn)和報(bào)告漏洞風(fēng)險(xiǎn)的狀態(tài)。所以我們部署來自Foundstone、nCircle、Qualys和Rapid7等供應(yīng)商的工具。

這些漏洞管理工具能夠向我們提供關(guān)于連接網(wǎng)絡(luò)的端點(diǎn)以及資產(chǎn)資源狀況的情報(bào)信息。事實(shí)上，存在太多數(shù)據(jù)，需要花一些時(shí)間來整理優(yōu)先事項(xiàng)以及考慮如何向企業(yè)內(nèi)的負(fù)責(zé)方報(bào)告。不過現(xiàn)在我們就能夠?qū)@些情報(bào)信息和數(shù)據(jù)作出反應(yīng)了。

不過，擁有漏洞數(shù)據(jù)還只是解決了一半問題。另一半問題是進(jìn)行修復(fù)，為此，我們需要獲得IT部門其他團(tuán)隊(duì)的幫助。面臨的挑戰(zhàn)：我們?nèi)绾巫屩С謭F(tuán)隊(duì)認(rèn)識(shí)到問題的存在，并且需要讓他們明白，他們必須在漏洞被利用前迅速修復(fù)漏洞。

在本文中，我們將分析漏洞管理的五個(gè)階段，并提供一些建議來如何到達(dá)最后一個(gè)階段：即接受漏洞管理。

1. 拒絕。 “掃描結(jié)果是不準(zhǔn)確的，在你的掃描結(jié)果中存在誤報(bào)(沒有漏洞卻說有漏洞)”

拒絕通常只是個(gè)人(或者支持團(tuán)隊(duì))的暫時(shí)抵抗。為了度過這個(gè)階段，你必須讓支持團(tuán)隊(duì)將注意力放在積極行動(dòng)上。換句話說，將他們認(rèn)為是錯(cuò)誤的項(xiàng)目暫停，讓他們將重點(diǎn)放在他們贊同的項(xiàng)目上。這將能夠讓工作繼續(xù)進(jìn)行下去，而不是讓他們懷疑漏洞結(jié)果。

2. 憤怒。 “這是誰的錯(cuò)?是你提出進(jìn)行這些掃描的更高請(qǐng)求嗎?”

很多支持部門會(huì)對(duì)于結(jié)果所有權(quán)的偏離表示憤怒，質(zhì)疑掃描他們網(wǎng)絡(luò)中設(shè)備的權(quán)利。要度過這個(gè)階段，你最好獲取足夠的和可證明的預(yù)先授權(quán)，再對(duì)這些網(wǎng)絡(luò)進(jìn)行掃描。這可以通過更改控制過程進(jìn)行確認(rèn)，但這通常涉及對(duì)掃描次數(shù)的協(xié)商，可以通過獲取高層的授權(quán)來進(jìn)行掃描。

3. 爭(zhēng)吵。 “真正的風(fēng)險(xiǎn)是什么?你可以將掃描工作延遲到下一個(gè)季度嗎?因?yàn)槲覀兲α?。我不明?”

第三階段涉及某些個(gè)人(或者支持團(tuán)隊(duì))希望能夠以某種方式推遲或者拖延不可避免的掃描。風(fēng)險(xiǎn)所有者和修復(fù)職責(zé)是這個(gè)階段的主題。要度過這個(gè)階段，你必須確定掃描對(duì)業(yè)務(wù)的影響以及考慮自上而下地進(jìn)行掃描。確認(rèn)依存關(guān)系和定義移除障礙的責(zé)任是關(guān)鍵的成功因素。

4. 沮喪。 “我一直都保持及時(shí)修復(fù)補(bǔ)丁，但新的漏洞總是讓我們舉手無錯(cuò)，我似乎無法取得任何進(jìn)展!”

在第四階段，支持團(tuán)隊(duì)開始明白可能出現(xiàn)新漏洞的必然性，以及問題的嚴(yán)重性。在這個(gè)階段，支持團(tuán)隊(duì)將會(huì)需要你的支持。他們將會(huì)想知道他們的努力確實(shí)取得了成果。一個(gè)有用的策略就是確保你的掃描和報(bào)告過程采取了風(fēng)險(xiǎn)規(guī)避和降低風(fēng)險(xiǎn)評(píng)分作為關(guān)鍵指標(biāo)。換句話說，如果你可以量化這些良好修復(fù)工作，那么支持團(tuán)隊(duì)將可以開始接受這樣的事實(shí)，即成功只需要一次努力，但是不斷進(jìn)行修復(fù)才能獲得長期的成功。

5. 接受。 “一切都會(huì)好起來，雖然我可能不能打敗它，但是我可以全面做好準(zhǔn)備。”

在這個(gè)最后階段，終于獲得了支持團(tuán)隊(duì)的理解，并且對(duì)于漏洞管理，他們將更好的集中在風(fēng)險(xiǎn)問題上。一旦支持團(tuán)隊(duì)意識(shí)到這是一個(gè)長期持續(xù)的工作，并且掃描結(jié)果實(shí)際上是幫助識(shí)別風(fēng)險(xiǎn)區(qū)域，他們通常都愿意部署更有意義的程序更改，而且更能夠幫助保護(hù)在其控制下的資產(chǎn)。

最后請(qǐng)注意：在這些階段中出現(xiàn)倒退是很正常的現(xiàn)象，但只要你充分地理解了這些行動(dòng)背后的動(dòng)機(jī)，你將能夠幫助支持團(tuán)隊(duì)最終接受漏洞管理。如果可能的話，在評(píng)估過程的初期階段讓責(zé)任方參與以幫助接好在所有這些階段中的負(fù)面影響。

原文出處：http://safe.it168.com/a2011/0119/1151/000001151959.shtml

【編輯推薦】

1. 甲骨文發(fā)布最新安全漏洞修復(fù)程序
2. 創(chuàng)建Java安全框架 避免Java漏洞被利用
3. 微軟修復(fù)關(guān)鍵Windows漏洞　發(fā)布臨時(shí)IE問題解決方案
4. 微軟發(fā)布新年首批安全補(bǔ)丁 暫未修復(fù)IE“圣誕”漏洞