善用弱點管理產品，找出最迫切的資安問題

沈志明 McAfee臺灣區技術顧問，專長於提供企業資安專案規畫、建置以及顧問服務，網路入侵偵測規畫與服務，以及風險管理專業企畫。個人擁有CISSP、Security+，以及MCSE等證照。

弱點管理是近年炙手可熱的資安議題，相較於IPS、防火牆的被動防禦，弱點管理產品可以協助企業主動發現目前存在於各個端點上的已知安全問題，並及早修補。

McAfee臺灣區技術顧問沈志明認為，這項工作並非只是單純的弱點發現與修補，如何透過弱點管理產品找到安全風險最高，最重要的一臺電腦，並適時處理其問題，才是重點所在。

問：市面上的弱點管理產品有2類，一種需要安裝代理程式（Agent），另外一種則不需要（Agentless），你覺得運用上的差別在什麼地方？
答：安裝代理程式的好處是可以完整收集端點的各項資料，提供給產品分析之用，可是這麼一來，可供管理的端點就往往局限在使用微軟作業系統的用戶端電腦，或者是伺服器，這是因為多數產品的代理程式只有Windows的版本。

對於企業來說，掃描和修補的工作不應該只鎖定在單一平臺，其它像是Unix，以及散布在內部網路中的網路設備也是需要加以管理的對象，因此靠代理程式收集端點資料的方式，進而落實企業的弱點管理政策相當困難，因此不需要安裝代理程式的產品，在布建上會有較大的可行性，在應用範圍的全面性上也有較大的優勢。

問：企業導入這類產品時，有那些要點值得注意？
答：弱點管理的流程是先完成掃描，然後才有修補的動作。想要透過網路完整掃描端點，前提就是先確認閘道端的防火牆以及安裝在端點的個人防火牆，是否開放給弱點管理產品進行掃描。

在企業內部，除了用戶端電腦之外，還包括放置在DMZ區的伺服器。為了能夠從用戶端所在的網段掃描伺服器，因此閘道端就必須開放相對應的權限，才能讓連線進入DMZ區執行掃描。至於用戶端電腦上的個人防火牆，如果是企業端產品的話，則可以透過中央管理，統一設定的方式修改防火牆的軟體權限；如果是消費端產品，或者是作業系統內建的防火牆，那麼就必須逐一設定，才能讓弱點管理正常運作。

需要管理的端點也許並非集中在相同的網段，因此在建置時，就必須將產品的延展性加入評估。除此之外，擴充性對於企業來說也是相等重要，一般中小型客戶只需採購一套產品就能滿足使用上的需求，不過對於有多個分公司，端點眾多，且利用VPN彼此連接的大型企業來說，由於頻寬有限，此時就不適合直接從總公司掃描各分公司內部的端點，我們建議採購單純提供掃描功能的弱點管理設備，並且將它放置在遠端據點，然後透過網路向總公司的弱點管理設備回報，方便管理者透過單一介面，並採取適當的做法處理問題。

問：很多人把弱點管理看做是獨立的產品，不過實際運作時，能否和已經導入的資安服務相結合，發揮產品的最大效益？
答：透過網路掃描端點，除了要考慮防火牆所造成的阻隔之外，是否會收集到錯誤的端點相關資訊，進而做出錯誤的處理也是重點之一，如果可以再透過部署在端點上的其它資安產品收集資訊，交叉比對，減少產品誤判的機率。

問：對於企業的資訊人員來說，如何有效運用弱點掃描所得的資訊？
答：透過弱點管理產品的掃描，我們可以知道端點上有那些問題需要修補。就弱點修補的工作來說，最有效的方式就是先從危險等級最高，且已經發生攻擊事件的弱點下手，要知道，當資安事件發生時，就等於是和時間賽跑，這時資訊人員應該想到的是努力保護最重要的資產，並設法解決最嚴重的資安問題，而不是花時間解決一些無關緊要的問題。

問：像微軟長久以來透過Windows Update、Microsoft Update向所有的電腦派送更新程式，許多企業也利用免費的WSUS派送更新程式，對於企業來說，在派送更新程式時企業應如何區別以上幾者和弱點管理產品的角色差異？
答：自動更新的服務適合運用在一般的用戶端電腦，但就伺服器來說，在一個修補程式尚未確定穩定與否之前，多數企業是不敢貿然安裝的，對於修補程式，許多企業皆制定一套嚴格的測試流程，確保修補程式不會造成反效果。

就這點來說，例如許多的弱點管理產品，以及一些與之搭配的第三方更新工具，除了Windows之外，對於其它較為常見的的作業系統，像是Linux、Solaris等，都可以有效支援。

WSUS是一個修補更新的派送工具，對於資料報表的提供仍較為缺乏。嚴格來說，功能完整的修補工具除了要支援多種平臺之外，甚至可以修復使用者錯誤的設定行為進行，同時也應該設法因應各國資安法規，進而掃描用戶端電腦是否符合。整理⊙楊啟倫