大多数公司经常使用安全漏洞扫描软件来清查计算机资产。其想法是,你运行扫描软件后,按危急程度列出每台计算机上的众多安全漏洞,然后逐一修复,因而让贵公司更难被黑客攻击。
只可惜,这种想法很少最后成为现实。本人参观的每家公司最后列出了一长串安全漏洞,可是之后对它们基本上无所作为。我经常看到一些公司存在成千上万个明显的安全漏洞。上个月我就碰到过一家公司存在的安全漏洞居然超过100万个。
为什么大多数公司似乎满足于仅仅发现和登记漏洞安全,而不是随后也修复这些漏洞呢?当然,安全漏洞的绝对数量之多肯定让人头大。我的意思是说,如果贵公司环境中的每台计算机都有数十个至数百个安全漏洞,该从何处开始下手?
从最要紧的抓起
我可以回答这个问题:首先解决那些风险最高、危急程度最高的安全漏洞。先从最关键的服务器和管理员用户的计算机开始查起,然后再查不大关键的计算机和用户。这么做的前提是假设你准确清查了计算机环境,详细列出了最关键的应用程序,而且深入了解它们之间的依赖关系。
比如说,你的人力资源系统可能很关键,但是还需要别的什么系统来支持它?如今,大多数系统需要网络设备、接口、DNS、或许活动目录以及其他基础设施支持服务。关键的用户工作站不仅包括网络和基础设施管理员,还包括人力资源系统的权限提升的用户。
如果你确确实实认真分析了关键业务型系统及它们之间的所有依赖关系,可能会发现,40%或更多的系统被认为是关键型。关键系统不应该含有危急的安全漏洞,是不是?
当然,不是所有被列为“关键”的系统都一样重要。大多数安全漏洞扫描软件程序给安全漏洞排序时使用简单的描述(低风险、中风险、高风险或危急),或者使用数值化评分系统。后者方面最有名的例子之一就是常见通用漏洞评分系统(Common Vulnerability Scoring System),它将安全漏洞按从低值(0.0)到高值(10.0)来进行排序。我尤其喜欢包括其他因素的评分系统,比如修复漏洞需要的工作以及该安全漏洞在外头是否被人积极利用。
小编推荐阅读