想要修補系統漏洞,先要找出現存漏洞的類型和數量,企業通常會委託資安廠商進行弱點掃描(Vulnerability Scanning)、網路安全評估(Network Security Assessment Services,NSAS)和滲透測試(Penetration Testing),在入侵或病毒蠕蟲事件發生前找出弱點,針對發現的漏洞修補,才能對症下藥。

使用這些服務有些原則是共通的,廠商需要了解企業網路架構中提供哪些網路服務及應用程式,確認掃描目標對象、應用程式及網路設備後,要選用適合的弱點評估工具,並依照約定的掃描政策,執行弱點掃描作業,之後分析結果產生報表,進行修補弱點與修正安全漏洞,以及後續複檢作業。

用對工具,找出弱點

企業使用弱點掃描或弱點評估(Vulnerability Assessment,VA)的主要意義在於偵測漏洞,如果能用工具偵測到漏洞存在,表示駭客從外部同樣也有可能發現這些弱點,你可以自己使用工具或請委外服務廠商來執行這項工作。當掃描結果出爐,這些資訊可以化為接下來修補弱點的依據,管理者可以透過這份報告,明白一件事︰原來從外界看來,公司的電腦有這麼多弱點可以利用」。

弱點掃描的對象是固定存在企業內部的電腦,然而在每次掃描作業間的空窗期還是可能有漏網之魚,例如出差員工的筆記型電腦或是臨時訪客的電腦,對於不在資產控制清單內的電腦設備,這些有可能是視而不見的威脅來源,必須將這些高危險的設備列入控管範圍內,修補程式管理系統的發現(Discovery)功能,搭配群組管理與政策,可以補足這部分的缺失。

至於更進階的滲透測試,為了測試資訊系統架構的安全強度,大多會運用真實世界的駭客滲透與攻擊手法,以人工的方式,徒手突破防禦,現成的弱點掃描工具雖然有助於模擬入侵,但無法涵蓋所有可能的入侵方式。

弱點掃描的工具可分為主機型和網路型,掃描的目標分別對應到系統弱點和網路弱點。在特定應用也有一些專門的弱點掃描工具,例如能夠測試網站伺服器弱點的Nikto,支援微軟SQL Server、Oracle和Sybase資料庫弱點掃描的ISS DataBase Scanner,或是針對網站SQL Injection弱點的NBSI等。

在可靠性考量上,使用免費弱點掃描工具應特別保持謹慎,有些功能有限,部分來自中國的工具則具有危險性,可能被植入木馬。雖然名為測試用,不過有時會被歸類為駭客工具。

取得評估報告有助於規畫修補

免費或商業版本的弱點掃描工具多得不勝枚舉,要能看得懂結果,得到綜合性的資訊,才能真正輔助管理者決策。

中大型企業人力和預算夠充裕,可以有專門的人執行弱點稽核作業和報告製作,定期掃描的頻率可以做到每週甚至每天,假如負責的資訊安全人員技術能力夠,試用、採購後長期使用,比較節省成本。

委外由廠商的情況較普遍,找到代理弱點掃描工具的廠商或有經驗的資安廠商,都可以提供這方面的服務。以政府單位為例,承辦人有太多事情要處理,往往在弱點稽核與修補漏洞寧願委外;而中小企業的資安技術能力不足,就算可以執行掃描工具,但此時可能還是需要委託專業廠商服務,將分析結果轉換為可讀性較高的中文報告,IT人員可以據此決定修補工作程序,或是回報給高階主管作為營運上的參考。

不論你用何種方式得到弱點評估報告,假如你沒有對應的資訊安全政策,定義充分的處理程序,光靠這份報告內容並不能完全讓企業懂得接下來怎麼修補。因為報告中通常列舉不同等級的弱點分析,要求IT人員或服務廠商在期限內全部補完,或是認為微軟發佈的漏洞全都補,非微軟的漏洞再自行決定,這些做法並不切實際,會衍生很多問題。

資安政策明確可讓弱點管理更平滑

很多企業都願意使用弱點掃描,但多半流於形式,如要進行一個有效率的修補程式管理,面對漏洞與修補程式,企業必須要有明確的資安政策,幫助IT人員落實,讓修補工作範圍更廣泛而有效,得到的資訊可以連結風險管理,更符合企業單位的需求。

當漏洞修補管理機制成立,弱點掃描只是一套使用的工具,重點是偵測完,該怎麼應對。工具優秀、管理功能完善、發現機制快速,發現漏洞不知所措也是枉然。有些企業本身導入弱點掃描工具,但因為是上級指示或其他同事主導引進,沒有SOP和資安政策,當系統發現弱點產生報表,引發稽核通知,雖然只是流程上的一環,對無法處理的管理人員來仍是額外的困擾。文⊙李宗翰

相關文章
企業克漏修補絕地反攻

修補篇-修補漏洞,測過再上

預防篇-稽核修補成效,預防漏洞攻擊


Advertisement

更多 iThome相關內容