由于近期曝光了高危DNS漏洞:当黑客利用该漏洞时可以将用户成功劫持到任意一个网站,比如当你输入一个正确的网络银行域名时,你可能访问到的是一个黑客伪造的站点。由于该漏洞的利用代码已于昨日被人发布到互联网上,所以目前互联的安全受到很大威胁。超级巡警团队建议大家谨慎使用各种网络支付手段,使用OpenDNS来避免受到该漏洞的影响,并安装畅游巡警来应对可能由此而来的网络挂马行为。
可见漏洞管理是企业网络安全管理工作中的一个非常重要的在组成部份。试想,我们若住在一个千疮百孔的破屋子里面,我们会感到安全吗?企业网络也是如此。一个千疮百孔的网络,怎么能够保障企业信息与网络应用的安全呢?
如今的企业的IT环境变得越来越复杂,越来越多的安全威胁被揭示出来;过去,我们知道很多企业尝试通过部署“最佳单品”安全解决方案来保护自己,比如防病毒网关、防火墙、入侵防护系统、VPN、访问控制、身份认证等,毫无疑问,这些技术都很有价值,但同时也带来了新的问题:极度复杂。在这种极度复杂的情况下,需要的是一个单一的、集成的解决方案,使得企业能够收集、关联和管理来自异类源的大量安全事件,实时监控和做出响应,需要的是能够轻松适应环境增长和变化的解决方案,需要的就是企业完整的安全管理平台解决方案。可见,如果没有漏洞,也没有企业网络安全等相关的问题。正是因为我们网络中,存在许许多多网络漏洞,网络时时刻刻都存在着各种风险,如何保证网络安全有序运行成为用户最为关心的问题。处理根本方针为:主动发现,及时修复。 最常用的方法如下:
一、 网络扫描、主机扫描?
若要做补好漏洞的话,则首先需要知道有哪些漏洞,我们才能够下手进行修补。所以,漏洞管理的第一项工作就是对现有主机进行稍描,看看有哪些漏洞。现在一般通行的有两种扫描方式,一是从网络中的一台主机对网络内的全部主机进行扫描,我们可以利用一些扫描工具,如RJ-iTop网络隐患扫描系统,方便的对网络内的所有电脑进行扫描,发现他们操作系统的漏洞。如可以里用网络隐患扫描系统工具,轻松的发现企业网络内的哪些主机没有设置管理员帐户密码或者对其只是设置简单的密码(例如qweasd),应该为大小写+字符+数字组合;也可以利用这个工具扫描企业内的主机哪些开着默认共享等等。
另外一种是主机扫描。就是在网络内的所有主机上安装稍描工具,然后对主机进行逐步地扫描。比如我们经常使用杀毒软件,像卡巴、瑞星、诺顿等杀毒软件,他们都自带有漏洞扫描工具。利用这些工具(建议使用360安全卫士),我们网络安全管理员可以非常轻松的找出操作系统中存在的可能被攻击的漏洞。
若利用这两种扫描方式对同一台主机进行扫描,可能其扫描出来的信息不完全一致。为什么呢?其实,网络扫描就好像是一个黑客,对我们的网络进行扫描一样,其得到的信息可能只是一些比较简单的信息,而且,由于其他种种方面的限制,其扫描到的可能不是所有的漏洞信息。而我们在主机端扫描的话,则会得到比较详细的信息,也可能会发现已经知道的所有系统漏洞。可见,若能够在主机上扫描的话,我们管理员会知道更多的信息。可惜的是,在主机上对每个操作系统进行扫描,工作量非常的大。所以,我们需要根据实际情况,在工作量与安全性之间取得一个均衡。二、周期扫描、定时扫描?
我们该什么时候对主机进行扫描呢?是一天一次,还是一个星期一次,又或者是一个月一次呢?
从理想的角度来讲,当然是频率越高越好,如此的话,我们可以最早的发现漏洞。但是,我们也知道,无论是本机扫描还是网络扫描,都比较消耗资源,会对主机以及网络的性能产生很大的影响。如采用网络扫描的话,则在扫描的过程中,会占用比较多的网络带宽,从而降低其他网络应用的效率。经过一个测试,当我在开启网络扫描的时候,同时向一个文件服务器复制一个4.8M左右大小的图片,其必在没有开启网络扫描时,要整整多花近一半的时间。可见,扫描太过于频繁的话,会大大影响企业其他网络业务的正常运转。
为此,我们需要设置一个比较合理的扫描频率,在满足安全性的同时,把对正常业务的不良影响降低到最小的水平。尽量地选择业务量相对少时间段,网络又处于空闲状态时,进行定时扫描(一般定时为凌晨2:00—3:00)。如果该企业业务量相对少,建议使用周期扫描。
三、 修补前需要做好测试工作
大家知道,我们有个习惯,如果发现了漏洞,就会及时下载相关的补丁程序,并安装运行。如果这个补丁与你的计算机中的一个程序冲突,你就会感到手忙脚乱。笔者认为,我们在为其打上漏洞的时候,最好还是在局部电脑上进行测试,看看这个漏洞的补丁会不会对电脑上的其他软件有冲突。与其等到有冲突的时候进行后悔,那我们还不如先做好测试工作呢?
一般来说,微软操作系统及其办公软件所公布的补丁,他们也会进行一些测试。但是,他们测试的内容可能不会涉及到企业现在在用的所有软件。
通过对防火墙、IDS等设备数据信息采集,能实时收集信息,然后通过事件处理中心,运行其独特的数据挖掘和关联技术能力,迅速识别出关键事件,自动做出响应,最大化地减少攻击对网络产生影响;同时强大的知识库也可以集成各种故障处理事件,网络工程师依据知识库所提供的帮助就能解决大部分的网络故障问题,有效减少了宕机时间,确保了运行效率,在此基础上能提供企业安全趋势分析,使网络工程帅能轻松了解各种风险并采取明知决策。
当企业的网络工程师面对大量的网络数据时,他需要的明确的思路、清晰的条理、实际可操作的依据,针对以上这些困惑,安全管理平台集中对安全威胁进行检测和响应,使网络工程师能获取最新的安全信息,通过强大的实时故障处理、安全威胁响功能,进而查看企业IT系统的安全状况视图,从而整理出切实有企业有用的数据信息,提高安全管理效率,降低总成本并提高投资回报率。