以火攻火：自动化网络 弱点侦测(二)

弱点侦测方法的比较
 公司能够在很多种弱点侦测方法中进行选择：使用基于软件的产品进行手工测试，顾问的渗透测试，以及基于外部的解决方案。使用后面的几种方法，也被称作MVA，扫描是被由第3方设立和维护的基于WEB的服务器所执行的。各大公司需要在浏览器里输入一个用户名和对应的密码来启动一个扫描，该扫描可以是自动运行，或者设定某个时间运行以及立即运行。扫描程序会模拟黑客的思维，以探索网络的方式来了解网络的弱点并且透过防火墙来评估位于互联网上可见的设备。一旦扫描完成所有被发现的弱点会以电子邮件的方式立即以报告的方式发送给公司。最有价值的服务是对弱点以优先级的高低进行分级并且提供连接到被测试过的补救方法的链接。
 MVA提供高于其他弱点侦测方案的安全优势和清晰的花费。例如，如果手动工具集就需要专职人员来操作扫描——这是一件高强度的劳动并且对于大多数公司来说，这是一件非常昂贵的服务。使用人工扫描扫描，即使一个单独的服务器也能很容易的花费掉一个安全专家每个月两次1到2个小时的时间。对于一家拥有100台服务器的电子商务公司，负担将会增加到每个月400小时，或者说两个人进行全天候的工作。TOWER RECORDS 报道说在自动化弱点侦测被采用前，人工扫描每个新服务器需要花3到20个小时，无论服务器的配置是标准的或者定制的都是如此。在使用了自动化弱点侦测方案后，TOWER 可以预先设定扫描让他在白天或者晚上的任何时间运行。因此，自动化控制显著的减少了资源消耗，把IT工作人员解放出来以及中投入到其他的安全工程中去。
 另一个值得关注的人工操作工具集的缺点是它缺乏客观性，因为是公司自己运行软件以及设置参数。“评估你自己的网络就好比检查你自己的报告一样，”Kevin Ertell ,Tower Records的网络运转主管写道“把弱点评估外包给无利害关系的第3方来做显然更为有利。”最后，人工操作的产品通常被用来扫描那些装有特殊操作系统的服务器，并且适当的需要购买额外的软硬件以及更大的带宽，更何况专利转让协定的价格将会高的让人望而却步。
 雇佣外界的顾问来进行渗透测试会克服内部测试的缺乏客观性，但会产生其他的问题。其中之一就是费用，它将限制大多数公司一年一次，一季度一次，或者一个月一次的安全审计项目。被限制的扫描造成了一个主要的问题，因为新的弱点以平均每周30个的数量被发现。因此即使渗透报告非常的详细，他们仍然有一个短暂的‘保存期‘，他们仅仅在网络或者系统没有任何改变或者威胁出现之前有效。这意味着企业花费巨大金额的钱来做的测试可能仅仅能保持数小时的有效期。使用MVA却大不相同，公司可以执行一个没有数量限制的评估——每天，如果需要——以一小部分花费来进行一个渗透测试。

自动化，基于WEB的服务
 在自动化的支持下，基于WEB的弱点侦测，在花费下降的同时安全性和可测量性却上升了。在花费上面的益处尤为引人注目。举例来说，公司不需要购买和维护专门的硬件和软件。而且不像那些要求公司签订每个月固定数量扫描协议的服务。基于WEB的交付意味着公司可以仅花费一次扫描的价格就能进行一个没有数量限制的扫描。通常这种服务是以被扫描过的IP地址的数量来定价格的。自由的进行需要的扫描意味着当IT工作人员找到了一个漏洞的补救方法后他们能够马上运行另一个扫描来确认漏洞是否真的被解决。
 新的弱点侦测系统也减少了研究新弱点和他们的补救措施所花费的时间和开销。因为基于WEB的弱点侦测系统是依赖于一个中央维护系统的，一个存有所有已知弱点和解决方法的新型数据库，IT组织不需要去为每一个应用软件和操作系统去训练专家。这种益处对那些拥有不同种类网络的公司特别有用——在这个并购和收购越来越平凡的时代。
 最后基于WEB的MVA服务使公司能够在一定程度上更省力；扫描一个B类或者C类网络不需要花费比扫描一个单一的IP地址更多的资源。也不比在WEB接口上做几个点击费力。不需要为硬件和软件追加更多的支出。公司制需要调整服务器以允许新加入的IP地址就可以了。

节省费用的另一面
 比减少费用和减轻IT员工负担更为重要的是，自动化MVA提供了更好的保护措施来对抗网络上的危胁。因为扫描是依赖一个包括了所有已知威胁和对付他们的解决办法的全面地数据库赖运行的，公司能非常彻底的保护他们的重要信息资产，确保他们的团队能够支撑商务连贯性。公司将获得扫描会包括最新的威胁的保证。并且不需要为每次安装软件所发现的威胁担心。
 使用预防性的保护和加密的数据，自动化MVA帮助公司调整符合要求的网络安全和隐私。Turnbull的内部报告，打算让英国的股份有限公司使用，使得董事会必须去考虑公司所面对的威胁的范围和种类。尤其是董事会必须决定，“内部和外部的操作是否有意义，金融和其他方面威胁是否用基本方法来评估？”自动化MVA将帮助公司获得肯定的答案。
 同样的MVA依从于1999年的数据保护法案，把目标对证每个处理个人数据的公司。数据保护法的第7号法案写道，“适当的技术和组织措施将会被用来对抗未经授权和非法的对个人数据的处理并且防止跟人数据的意外和人为损坏以及丢失。”法案还申明，“标准的风险评估和风险管理必须包括识别系统中潜在的威胁，把系统中的威胁和解决防范方法就位来减少和处理风险…数据管理员需要考虑的一个问题是他们需要防范对抗的是病毒还是其他方式的入侵。”自动化MVA又一次解决了需求。

不再容易受到攻击
 公司保护他们的网络不受黑客和病毒的攻击，不但为了保护他们的资源，同时为了维持公众形象以及他们在消费者心目中的声望。起步需要不大的前期投入和计划。某些MVA服务只需要公司提供一份IP地址的清单和设备名称。当收到一个用户名和密码后，公司就可以在一天中的任何时候用基于WEB的接口来执行没有数量限制的扫描了。结果和推荐措施会立即显示出来。
 自动化弱点侦测能够更有效的让安全人员对黑客的自动化攻击方式作出回应，提前预防他们的网络受到那些会使数据，商务连贯性，企业名誉受到威胁的入侵。

首页 上一页 1 2 下一页 尾页 2/2/2