企业使用的应用程序越多，安全漏洞管理就越复杂。在找出每一个安全漏洞并且修复这些安全漏洞防止黑客攻击的过程中，漏掉一些重要的东西是很容易的。如果你是一位正在实施包含一项安全任务的多项任务的IT管理员，特别容易发生这种事情。

　　安全从业人员不能捕捉到一切事情。但是，通过把安全漏洞管理细分为一些基本的部分，就有可能实现更有效率的防御。参加上个月"SANS波士顿2010"会议的首席安全官都在寻找这些基本的部分。接下来的就是关于安全漏洞管理的三部分系列文章的第一部分。这是根据SANS Institute总裁Stephen Northcutt的一个培训课程整理的。这个课程的题目是" SANS Security Leadership Essentials for Managers with Knowledge Compression"。

　　在介绍全部的安全漏洞管理工具和技术之前(这些技术将在以后的两篇文章中介绍)，我们首先熟悉一下安全漏洞管理到底是什么。

　　安全漏洞管理的五个原理

　　Northcutt说，要了解安全漏洞管理，首先考虑一下安全漏洞管理的五个原理：

　　·安全漏洞是威胁发挥破坏作用的关口。

　　·没有补救措施的安全漏洞扫描是没有意义的。

　　·极少的扫描和补救措施要好于进行许多扫描和没有补救措施。

　　·需要修复的安全漏洞必须优先考虑对网络安全有直接威胁的那些安全漏洞。

　　·安全从业人员需要一个流程，允许他们不断测试安全漏洞以便更经常和有效地提供补丁。

　　Northcutt强调从小做起的价值。他指出，一次做较少的扫描然后进行修补的一个理由是避免出现你了解大量安全漏洞的情况。如果你了解到那个情况并且没有采取补救措施，你的机构就没有尽责。

　　Northcutt说，如果发生数据泄露，而且回溯到这家公司已经知道但是没有修复的安全漏洞，后果将非常严重。这是在法院考虑惩罚性赔偿损失的阶段会考虑的一个因素。

　　主要威胁载体

　　Northcutt接着说，识别一个机构必须关心的主要威胁载体是重要的。这些载体有：

　　·来自网络的外部攻击。

　　·来自网络(虚拟专用网)的内部攻击。

　　·来自电话的外部攻击。

　　·来自本地网络的内部攻击。

　　·来自本地系统的内部攻击。

　　·来自恶意软件的攻击。

　　最担心的是Northcutt所说的"支点的力量"。所有的攻击者都需要一个立足点。如果存在一个能够从机构外部进入的没有修复的安全漏洞并且利用了这个安全漏洞，这个系统就可以用作攻击同一个网络中的其它系统的跳板或者"支点"。

　　心理学问题

　　要让企业官员理解安全漏洞管理的重要性，重要的是用他们能够理解的语音讲话。不要解释一个软件安全漏洞的具体位置在哪里或者需要什么具体的技术。Northcutt说，重要的是直接指出那些能够让企业官员晚上睡不着觉的东西。

　　老板会担心什么?Northcutt提供了如下例子：

　　·Web服务器被攻破会使机构成为笑柄。

　　·Web服务器被攻破可能泄露客户的隐私数据，从而导致法律诉讼和更糟的情况。

　　·内部人员出于愤怒可能想干坏事，如设置逻辑炸弹。

　　·内部人员感觉自己有权可能出售公司的商业机密。

　　·员工很容易被社交工程手段欺骗，将会向媒体泄露敏感的数据。

　　·黑客进入公司的系统可能找到公司做错事的证据，然后利用这些证据敲诈公司。

　　要理解这个事情的严重性，安全从业人员需要从三个方面看待这个挑战。从外部的角度看，好像你是互联网上的一个外部人员在观察你的机构;从内部的观点看，重点是考察系统设置是否恰当;从用户的角度看，用户主要在网络内部通过Web和电子邮件访问互联网。

　　为什么机构需要从这三个角度观察问题呢?Northcutt指出，因为：

　　·大多数机构仅使用Core Impact、Nessus或者NeXpose等扫描器完成外部的观察。

　　·如果用户能够访问互联网并且点击了恶意网站，他或她的系统就有可能被用来攻击似乎不可能攻破的系统。

　　·多年以来，SCADA安全模型是，如果你没有连接到互联网，你就没有任何要担心的事情。由于SCADA系统越来越多地连接到互联网，确实有许多令人担心的东西。

　　考虑到这些事情，Northcutt说，现在正是随意考察各种扫描器和入侵技术的时候。

　　本系列文章的第二部分重点介绍可用的扫描器、扫描器的相互区别以及如何确定哪一种扫描器最适合你的机构。第三部分探索确定哪些安全漏洞风险最大的方法以及如何确定补丁的优先次序。