“三板斧”堵死安全漏洞
来源:信息周刊 更新时间:2007-10-10

 “小洞不补,大洞吃苦”,虽然企业已经开始重视漏洞管理,但其紧迫性仍然不言而喻。

   田强  
  
 
  在排山倒海的洪峰和毫不起眼的管涌中,你更害怕什么?可能更多人害怕后者。没错,因为洪峰不会从天而降且可以预见,但堤坝上一个逐渐渗水的管涌口,会悄悄掏空堤坝,最终酿成大祸。企业的信息安全防线就像一堵防洪大坝,一方面新的病毒、新的攻击手段层出不穷,冲击着这座堤坝,一方面企业不断添置硬件和软件系统,如果不能主动找出可能出现的安全漏洞,并提前防范,任何看似固若金汤的安全系统都会变成“马其诺防线”。
虽然对漏洞的危害性,企业信息安全人员都心知肚明,但对于一个拥有各种不同品牌的硬件、不同操作系统、不同应用软件的企业来说,即使穷尽IT部门的精力来“捉虫”恐怕都捉不尽。根据美国计算机紧急响应小组协调中心(CERT/CC)的调查结果,计算机突发事件和漏洞数量正在不断增长,平均每天公布的漏洞数量在40个以上,随着发现漏洞数量的增长,系统受到攻击的可能性以及相关费用也在不断增加。因此,一个自动化、集成化、全局性的漏洞管理系统对企业就显得十分必要了。
智能查缺
“企业应该把风险管理放在IT系统建设的首位。” 国际著名的信息安全专家,Foundstone公司(Foundstone,Inc.)首席执行官(CEO)乔治·库尔茨(George Kurtz)在接受本刊越洋电话采访时开宗明义,“首先要做的是把系统中危险的地方查出来。”库尔茨是《黑客大曝光》(Hacking Exposed)一书的作者之一,该书在美国被奉为“信息安全界的圣经”,号称“信息安全第一书”。
库尔茨在他的安全咨询职业生涯中完成了数百个防火墙、网络和与电子商务相关的安全评估。2004年,Foundstone公司被McAfee公司(McAfee,Inc.)以8,600万美元收购。
虽然很多企业已经采用了各种网络安全漏洞的检测工具,但是对如何确定哪些漏洞更严重,如何去堵住这些漏洞,往往仍然束手无策。企业真正需要的是一个能提供持续性的网络安全漏洞评估管理系统,对于漏洞能查出、能分析、能堵住。群柏数码科技有限公司市场总监王慧说:“企业内一个废弃的路由器上不经意连着网络的网口,都很有可能成为攻击的入口。”
管理软件厂商美国Altiris公司(Altiris,Inc.)大中华区销售总监冯国兴说:“企业进行漏洞评估的内容应该包括防病毒软件的状态、安全补丁的状态、业界皆知的漏洞、个人防火墙的状态、系统安全配置的设定、未授权软件和未授权硬件这七大领域。”
库尔茨的方法是“知己知彼,百战不殆”,就是用仿真黑客攻击的手法来检测公司的网络是否有不正确的设定与危险的漏洞,同时提供完整的管理机制,以方便管理者追踪、记录、验证漏洞评估管理成效,同时通过量化的报表来真实地反映网络安全问题。如Foundstone公司的弱点评估管理系统就是仿真黑客的行为模式,协助企业找出暴露在互联网上的每一部主机、网络服务,以及相关信息与漏洞,用黑客的方法检查一个企业的网络架构,了解整个网络架构的变动状况。
管好家底
自演一把黑客,用黑客的方法检视自己的网络为企业提供了一个不一样的角度,但企业要梳理清楚自己的全部IT资产并不是举手之劳。由于企业的IT建设都是循序渐进的,桌面电脑、服务器、存储、路由器、交换机????硬件上林林总总,软件方面,各种操作系统、数据库、应用软件,纷繁芜杂。这些都成为病毒攻击的目标。 
 
 2006年1月,《信息周刊》研究部发布了《2005年中美信息安全调查白皮书》,研究结果表明:“操作系统和应用软件的漏洞,经常成为安全攻击的入口。”在遭到安全攻击的中国企业中,接近四分之三的企业都表示:攻击来自于已知的操作系统漏洞;五分之二的企业表示:攻击来自于未知的操作系统漏洞;接近三分之一的企业表示:攻击来自于已知的应用软件漏洞;而五分之一的企业则表示:攻击来自于未知的应用软件漏洞;还有四分之一的企业则承认:在过去的1年中,不适当的接入控制导致了安全攻击。(见左图)
库尔茨认为:“第二步就是如何把企业所有的IT资产管理起来。不仅在企业里IT设施需要管理,员工携带的笔记本电脑同样也需要管理。”
良好有效的资产管理对于消除死角、减少漏洞意义重大。由世界500强企业英国标准人寿保险公司和天津泰达投资控股有限公司共同创立的恒安标准人寿保险有限公司(下称“恒安标准人寿公司”)的资产管理就是一个典型案例。恒安标准人寿公司的内部网络连接了150多台桌面电脑、笔记本电脑,20台服务器和20多台网络设备,这些电脑和设备安装的应用软件五花八门,要把这些资产清查一遍不是件容易的事情,但不查往往就会漏洞百出。恒安标准人寿公司信息技术总经理林新观说:“公司内部的人员会调动,资产自然也会流动,如果完全靠人力来进行资产管理比较困难,有时候甚至无法进行下去,必须采用一个系统管理软件,能够完全自动化地对资产进行动态管理。”通过与国际商业机器公司(IBM)的合作,恒安标准人寿公司基于IBM公司的Tivoli软件构建了一套资产管理系统。
现在,在恒安标准人寿公司的Tivoli系统上,管理员可以通过图形化的界面看到每个终端的软件安装情况。如果有不允许安装的非法软件,系统会发电子邮件提出警告,如果员工不按警告提示尽快删除非法软件,就会有专门的管理人员去跟他交涉。原来恒安标准人寿公司进行资产更新检查,需要花费一个礼拜甚至半个月的时间,而且需要一个行政人员、一个财务人员和一个IT支持人员共同参与。部署Tivoli系统之后,每台设备的具体配置都由Tivoli软件自动扫描管理,每当设备配置更新,Tivoli软件能够自动检测、自动更新。如要查看IT资产状况,只需要由Tivoli管理系统按照需求生成一张报表即可,整个过程不到1小时。该公司通过有效的管理,做到对公司所有的IT资产的状况一目了然,大大降低了人为原因造成漏洞和安全隐患的可能性。
快速补漏
查出漏洞后就要及时修补漏洞,目前常用的方法是打补丁。但库尔茨也认为“打补丁是比较被动的方式”,而且对于企业来说,收集、测试、备份、分发等相关的打补丁流程仍然是一个颇为繁琐的过程。
美国Altiris公司大中华区销售总监冯国兴说:“虽然企业越来越重视补丁管理,但面对日益增多的补丁,IT人员难以识别和确定应当使用哪些补丁,首先进行哪些升级。”甚至补丁本身就有可能成为新的漏洞。顾能公司(Gartner)2005年的一项调查显示:大部分安全威胁是由旧补丁、新补丁、新漏洞、错误设定和缺乏统一标准造成的。
解决补丁管理的混乱,企业首先需要建立一个覆盖整个网络的自动化补丁知识库。相关人员通过自动扫描受管理的设备,对所有运行中的补丁程序进行集中查阅,然后分析各个补丁所针对的问题的严重性。
其次是部署一个分发系统。在恒安标准人寿公司,管理员就是通过Tivoli系统分发补丁软件和病毒库,提高运作效率,消除补丁分发所需的人工成本。

而且自动化的补丁分发程序大大加快了补丁的部署速度,减少了漏洞暴露在互联网上所带来的威胁。现在,某些补丁分发程序,如Altiris公司的客户管理套件(Client Management Suite)还能够将程序包发送到远程和移动用户,并且采用动态带宽控制和断点续传功能,大大提高了补丁分发的效率。
由于补丁是针对紧急情况的被动应变措施,往往并不能百分百保证与系统完全“严丝合缝”,因此在分发安装补丁程序,需要做好备份工作。美国Altiris公司大中华区销售总监冯国兴说:“补丁管理程序需要集成备份与恢复程序,能够快速、不留痕迹地恢复到原来的工作状态。”这样才能有效地减少补丁可能带来的新的困扰。
不仅是补丁管理程序,整个漏洞管理系统还需要与企业的防入侵系统、防病毒系统等其他安全系统集成,构筑一条完整的风险管理防线。
McAfee公司对Foundstone公司的收购就是集成化趋势的一个体现。Foundstone公司CEO库尔茨说:“McAfee公司收购Foundstone公司后,我们会将漏洞管理与McAfee的入侵防护技术等产品线结合起来。”据国际数据公司(IDC)的报告,漏洞评估和管理及入侵检测市场将在未来几年得到较大增长,整个市场的收入在2008年将达16亿美元。库尔茨说:“虽然很多中国企业才刚刚感觉到风险管理的必要,但紧迫性仍然不言而喻。”

小贴士
美国计算机紧急响应小组协调中心(Computer Emergency Response Team Coordination Center, CERT/CC),
成立于1988年,是一家美国联邦政府支持的、从事互联网安全研究的专门机构,位于卡内基梅隆大学(Carnegie Mellon University)。