DOITAPP
DOIT数据智能产业媒体与服务平台
立即打开
DOITAPP
DOIT数据智能产业媒体与服务平台
立即打开

持续风险管理解决方案的选型建议

持续的风险管理对于每个企业来说都至关重要,它可以防止攻击者利用计算基础设施的脆弱性进行大规模和有针对性的攻击。当然黑客不会针对已发布的所有漏洞展开攻击,但他们会不断地扫描软件包中的关键漏洞。从微软公布的漏洞数据中可以发现,有10%至25%漏洞第一次被黑客利用是在应用发布后的第30天左右。

虽然传统防火墙、防间谍软件、VPN加密等安全技术,在某些领域仍然起着不可替代的作用。但是它们中没有一种方法能够执行所有安全措施中最基本的一条:对硬件、软件资产以及它们的配置和漏洞进行持续监控和管理。

    持续风险管理的三大基石

风险管理解决方案的选择将直接影响公司的实际安全状态。一个好的风险管理方案,应该具备以下三大特点:

(1)尽可能多地采用自动化。持续风险管理的许多步骤都是重复的,手工完成这些任务将会消耗大量的时间和资源。自动化是确保风险管理以快速、系统和全面的方式完成,并在连续的过程中重复这些步骤的必要条件。

安全专家作为稀缺资源,不应该被束缚在那些可以通过自动化解决的简单重复的工作任务中。他们应该去解决那些自动化工具解决不了的问题,例如,确定补丁的优先级并对这些补丁的应用提供指导等。

(2)使用可靠、安全的技术。应该加大技术投入,慎重选择那些尚在实验性阶段或未经验证的解决方案。毕竟涉及到业务系统和数据时,谨慎的安全总比大意的后悔好。

(3)自适应业务的变化。风险管理解决方案最好能够自动适应企业业务的复杂和需求的多元化。

    持续风险管理方案选型建议

笔者建议,企业在选择风险管理方案时,能够从设计、部署、管理三个维度进行考核,因为这些因素都对风险管理的成功部署起着至关重要的作用。

    设计:建立强壮的风险评估

传统针对主机扫描产品由用户手动部署在企业网络上,但是存在一些不可避免的缺陷。如果将漏扫产品部署在防火墙外侧,则容易受到攻击和破坏,使得扫描产品的安全通信存在隐患;如果将漏扫产品部署在防火墙里侧,也存在无法处理诸如传输格式错误的数据包等漏洞。因此这类扫描产品会存在很多漏报和误报的情况。

青藤的风险评估产品采用的是云安全架构,信息数据采集采用C/S模式,管理采用B/S模式。客户端和服务端通信采用加密方式传输以及身份验证机制,在客户端上对自身进程、配置文件、服务等进行保护,能防止进程被非法注入、接口被恶意调用,具备掉线及时通知,并具备一定的自恢复功能。

    部署:将操作复杂度降到最低

对于在全国或全球拥有多个数据中心的大型集团客户,部署传统漏扫软件,会消耗大量时间和资源,比如IT人员要部署所需的设施来运行软件,并且需要在防火墙中配置通信路径。同时,将漏扫获取数据与安全管理平台集成也会存在诸多问题。

青藤Agent 只需一条命令就能在主机上完成安装,且自动适配各种物理机、虚拟机和云环境。运行稳定、消耗低,能够持续收集主机进程、端口、账号、应用配置等信息,并实时监控进程、网络连接等行为,还能与 Server 端通信,执行其下发的任务,主动发现主机问题。

基于主机Agent扫描方式,安装时不影响正常业务运转,无需重启服务或系统,并且采用非内核驱动技术避免主机出现蓝屏和崩溃等现象,采用非抓包技术减少对性能影响。安装流程简洁快速,单台服务器安装时间不超过三分钟。

  管理:提供有效低成本的解决方案

传统漏扫产品,在大规模部署中,会产生昂贵管理成本。比如,扫描不同网段主机时候,扫描结果割裂独立。IT人员如果想要了解整个企业风险情况,需要花费大量时间手工整理风险视图。面对软件更新、打补丁等常规动作,也需要在各节点上进行硬件维护和数据备份。

青藤风险评估产品提供系统规则包的离线上传更新功能,用户自助手动更新规则,在能连接外网的情况下,可以支持在线同步更新规则功能;支持系统各类通知的告警功能,包括如下分类:资产清点,风险发现,入侵检测,安全通告,产品动态,系统监控。同时,防止通知风暴问题,所有通知均进行聚合处理。

    写在最后

间歇性风险评估的效果是是短暂的,一旦环境发生变化或新威胁出现将失效。如果想要通过风险管理帮助企业提高安全性,那么应该进行持续扫描。当使用自动化风险管理解决方案时,持续风险管理变得相对容易。

未经允许不得转载:DOIT » 持续风险管理解决方案的选型建议