安全漏洞管理基础：怎样做好安全漏洞管理

心理学问题

要让企业官员理解安全漏洞管理的重要性，重要的是用他们能够理解的语音讲话。不要解释一个软件安全漏洞的具体位置在哪里或者需要什么具体的技术。Northcutt说，重要的是直接指出那些能够让企业官员晚上睡不着觉的东西。

老板会担心什么?Northcutt提供了如下例子：

·Web服务器被攻破会使机构成为笑柄。

·Web服务器被攻破可能泄露客户的隐私数据，从而导致法律诉讼和更糟的情况。

·内部人员出于愤怒可能想干坏事，如设置逻辑炸弹。

·内部人员感觉自己有权可能出售公司的商业机密。

·员工很容易被社交工程手段欺骗，将会向媒体泄露敏感的数据。

·黑客进入公司的系统可能找到公司做错事的证据，然后利用这些证据敲诈公司。

要理解这个事情的严重性，安全从业人员需要从三个方面看待这个挑战。从外部的角度看，好像你是互联网上的一个外部人员在观察你的机构;从内部的观点看，重点是考察系统设置是否恰当;从用户的角度看，用户主要在网络内部通过Web和电子邮件访问互联网。

为什么机构需要从这三个角度观察问题呢?Northcutt指出，因为：

·大多数机构仅使用Core Impact、Nessus或者NeXpose等扫描器完成外部的观察。

·如果用户能够访问互联网并且点击了恶意网站，他或她的系统就有可能被用来攻击似乎不可能攻破的系统。

·多年以来，SCADA安全模型是，如果你没有连接到互联网，你就没有任何要担心的事情。由于SCADA系统越来越多地连接到互联网，确实有许多令人担心的东西。

考虑到这些事情，Northcutt说，现在正是随意考察各种扫描器和入侵技术的时候。

本系列文章的第二部分重点介绍可用的扫描器、扫描器的相互区别以及如何确定哪一种扫描器最适合你的机构。第三部分探索确定哪些安全漏洞风险最大的方法以及如何确定补丁的优先次序。