在安全问题上,绝不存在任何完美的网络和应用。检测网络防御中的重要漏洞未必是一个昂贵复杂的任务。如果企业愿意,当然可以花大把的钱去构建一个强健的、实时的网络漏洞管理机制,但这并非上策。根据公司需要保护的资产类型及资产的所在位置,甲公司的网络漏洞管理可能与乙公司的网络漏洞管理看似迥然不同。任何时候都不存在什么模板或最佳方法可以保护公司免受每种漏洞的威胁。但只要企业认真计划,就完全可以将漏洞管理转变成一个有益于确认并解决潜在安全漏洞的过程。本文将探讨如何构建有效的网络漏洞评估和漏洞管理的工具和最佳方法。
无疑,无论是应用软件还是操作系统都存在缺陷,换言之,没有哪个应用程序或操作系统不存在任何漏洞或不会遭受攻击。只要有足够的耐心、技能及专业技术,每一种软件都可被利用漏洞、被破坏、被禁用或被用于恶意目的。要让开发者预测黑客攻击应用程序的每一种方法是不可能的,所以网络团队需要对付针对关键应用的各种不可预料的攻击。
针对关键应用或其所在服务器的大多数攻击,其渠道基本上都来自IP网络。所以,部署一个强健的漏洞评估和管理方案有助于减少应用程序中的漏洞。当然,这并非易事。许多企业的IT开发者和安全专家往往没有密切协作,所以无法解决应用程序和网络的漏洞问题。在应用程序和安全团队之间建立密切联系至关重要,这是因为对应用程序的变更可能会带来安全专家应当了解的新漏洞,而对网络的变更也有可能招致针对应用程序的新攻击手段。总之,绝不应当把网络漏洞管理看成是一次性的或定期的体检,而应当把它作为一个持续的标准IT过程。
减少关键应用遭受攻击的最佳方法,或减少被攻击者用无法预测的方式利用漏洞的最佳方法是,经常检查黑客用来攻击关键系统的各种网络漏洞。
如果你正准备从头开始构建一种漏洞管理方法,最佳的起点是执行发现和审计。如果你不了解企业在哪里会发生信息泄露以及发生信息泄露的原因,就无法真正规划一套持续的网络漏洞扫描的长期策略和过程。漏洞管理并不仅仅是部署微软确定的严重等级的Windows补丁。网络漏洞管理的真正含义是,发现每一台主机有可能遭受的攻击手段,并用一种使攻击者更困难的方法来应对攻击。
例如,如果企业的环境主要运行Windows,不妨登录到任意一台Web服务器或应用服务器,并在命令提示符下运行“netstat -a”来查看服务器正在监听的所有TCP/UDP端口。在网络环境中,在对一台随机选择的服务器的测试过程中,如果发现试验的结果中存在红色标记,则表明在将服务器投入到生产环境之前需要解决这些问题。
当然,在一个大型的环境中,先登录到每一台服务器,然后再使用netstat命令决定特定主机的暴露端口和服务,这是不现实的。审计者及攻击者更愿意利用漏洞扫描器或Nmap之类的工具来快速扫描整个子网的端口,查找暴露了重要端口的主机。例如,在网络扫描中,RDP成为一种主要的红色标记,因为如果攻击者发现了一套可用的登录凭证,就很容易规划出网络的剩余部分,并留下后门,为以后的大型攻击做好准备。
在作者的试验过程中,发现有几台新设备都启用了默认的只读字串。在检查几台新路由器的SNMP时,可以轻易地发现正在运行的路由器类型,以及正在运行的代码版本。攻击者只要有了这些信息,花点时间就足以制定出攻击进入路由器或交换基础架构的策略。在扫描子网中的其它主机时,作者还发现一台在80号端口监听的APC的UPS(不间断电源)。通过谷歌搜索得知,这种UPS的默认用户名和口令都是“APC”。因而,笔者就能够轻松地访问UPS并且可以通过网络关闭它。有些管理员可能认为以默认用户名和口令运行的UPS不是漏洞,其实不然。
不管企业规模如何,加速漏洞发现过程的最佳方法是聘请外部的审计人员。在发现漏洞的过程中不应当指责谁,更不应该把现在的管理团队说得一无是处。毕竟,每个管理员都会犯错误,而且在某种程度上每个环境都有可能遭受攻击。许多企业被迫匆忙地部署了某种服务,结果使安全成了次要问题。在企业迫于无奈而部署服务时,IT往往会为没有使用最佳方法而内疚。但是,在转向了下一个任务或项目后,你遗留的漏洞便有可能长期存在。为了减少漏洞,系统管理员应当有条不紊地部署新服务。
为了安全地部署服务,安全团队在发现和审计过程(包括渗透测试在内)中有可能请求管理人员给予更多资源。对系统管理员来说,这个过程可以作为教育IT人员关闭各种攻击媒介和手段的方法,或是可以部署新服务以便于使安全漏洞最少化的一种途径。
企业现有的发现漏洞的努力一定会揭示一些漏洞,并可能发现目前的策略造成安全漏洞的途径和方式。这当然是好事,因为建立一套长久高效的漏洞管理过程的最佳方法之一就是,评估现有的IT过程如何造成差强人意的漏洞管理状态。
下面列示的是一些用于建立强健的安全过程的最佳方法。
1、对于新服务器和桌面的部署,强化一个以安全为中心的过程
企业的主机在IP网络上将会遭受攻击,所以应当确保所有的服务器(新的和已有的)都应用一套标准安全模板(能够排除不必要的服务和端口,否则这些端口和服务有可能被用作攻击通道)。这应当成为一个漏洞管理项目的核心IT过程。
部署一台新服务器或桌面PC也许很简单,但保障新桌面和服务器的安全确保漏洞数量最小化就不那么简单了。采用一种面向过程的方法来部署新系统至关重要,因为最终你的主机将成为遭受攻击的靶子,而这种攻击是通过网络发生的。
以安全为中心的过程要求企业花时间确认用来强化操作系统(Web、应用程序、数据库等的运行与其密切相关)的方法。这包括清除所有供应商所提供的软件后门、不重要的和不必要的服务,并关闭任何可以导致服务器打开一个UDP/TCP端口的不必要的应用,还要求你部署适当的端点保护,用来跟踪配置上发生的变化,并阻止绕过外围防御的攻击。
如果你已经从安全的角度确认了标准桌面和服务器应当具备的特征,下一个重要问题是验证参数,并在一个模板中捕获这些参数以有利于未来的部署。企业还要有一个过程,确保在将一台服务器投入到生产环境之前,就应用标准的安全模板。作为一个标准的软件开发生命周期的一部分,新代码要经过一个质量保证过程。同样,所有新部署的服务器都应当在投入到生产环境之前,由其它的监视机制来保证其质量。通过强化关键应用软件赖以运行的桌面和服务器,安全团队不需编写一行代码就可以改善应用程序的安全性。
2、每天监视与日志和事件相关的数据
大型企业花很多钱用于日志管理、安全信息和事件的管理,但往往缺乏一个强有力的过程,无法将这些信息用作漏洞管理项目的一部分。在攻击者开始利用一个已知或未知的漏洞时,总会留下线索,但如果你不查找就永远看不到这些线索,而且也无法依靠自动化和警告规则去通知需要响应的每个安全事件。
企业应当集中管理安全日志,而且应当有人(理想情况下应超过一人)去检查这些日志,以此作为日常过程的一部分。
一个强健的日志管理或SIEM系统将成为漏洞管理项目的一个关键要素。漏洞扫描器可以帮助你揭示已知的威胁和潜在的攻击手段,但是日志可帮助你发现黑客是否访问过一个交换机或路由器。你还应当使用可以帮助你查找关键系统上发生变化的配置管理工具,要知道这种变化可能带来新漏洞,或者表明某种攻击正在发生。
对于预算紧张的中小型企业来说,开源或轻量级的系统日志服务器至少可帮助企业构建一个安全和事件相关数据的集中化展现。中小型企业还可以通过使用Windows中的相关安全和策略功能来解决配置管理问题。你也许达不到专有产品的控制和报告水平,但至少不花费什么代价就可以防止打开新漏洞和安装恶意软件。
3、让每天搜索新漏洞成为一个至关重要的IT过程
用户和系统管理员迟早会对桌面和服务器做出变更,这会带来新漏洞。多数系统变更是善意的,但往往会产生负面的安全影响。例如,管理员启用一台关键服务器的远程桌面,就会违反安全策略;用户为完成某些工作,在家里安装了远程访问客户端软件来访问公司的应用;用户或应用程序有时会禁用Windows的更新服务或反病毒扫描器在主机上运行;管理员无意地部署了一台路由器,却没有更改默认的用户名和口令,等等。
在系统变更或新的部署带来新漏洞时,企业需要检测这个漏洞,并快速地用一种面向过程的方式来解决漏洞。
适时地搜索和阻止网络漏洞要求企业有完善的工具。最初的投资应当是一个漏洞扫描器。而云供应商也可以扫描企业的IP地址块,这对于中小型企业发现防御漏洞是一种好方法。此外,Nmap也可用于发现多台主机的开放端口。
你还需要使用智能的网关防御,用来限制可能带来安全问题的各种应用程序。用户安装的把系统暴露在互联网上的非法软件,本身就是一个需要解决的漏洞。如果企业的端点防御或安全策略没有阻止用户安装未经许可的软件,安全团队就应当确保防火墙能够在外围过滤应用程序。企业需要向外围增加一些保护和检测功能,应当在外围过滤已知的恶意软件和漏洞。希望依靠端点防御来防止漏洞是不可靠的,因为端点的保护往往并不完备。
4、交流和通知新发现的漏洞
几乎任何企业的漏洞扫描器都能检测和确认严重的新漏洞,问题在于:你如何对待这些信息。安全团队应当将新发现的漏洞传达给应用程序的开发团队,并附上具体的补救计划,这应当成为头等大事。企业还要以一种面向过程的方式来监督漏洞信息的传达和交流,将其作为企业网络漏洞管理项目的一部分。企业应当为把新风险传达给公司应用开发团队而构建一个协调良好的过程,这应当成为应用团队和网络团队经常交流的重要内容。
5、严格限制对关键系统的访问
无疑,可以远程访问的任何服务器都易遭受攻击,但在今天,关于服务器管理的事实是,IT不能简单地禁用远程访问。IT仍可以使用户更安全地连接到服务器,而且可以使黑客在使用这种攻击手段时更困难。
解决此问题的一种方法是,禁用远程桌面并依靠IP KVM和带外管理。安全人员还可以仅允许从可信的安全VLAN远程访问服务器。对安全VLAN的远程访问应当要求双因素保护,而且不应当允许使用一般账户(包括“administrator”账户)的身份验证。此外,还应当记录所有的远程连接。
如今,许多与安全相关的最佳实践可保护企业免受漏洞的威胁。但对企业来说,更大的困难在于将这些最佳实践和工具转变成一套可行规则。在部署新系统或应用时,企业必须视漏洞问题。企业需要认真对待如何围绕最佳实践逐步地构建一个可实施的IT过程,否则必将遭遇惨败。
