三つ手で企業システムの穴を埋める

抜け穴管理は企業ネットワークの安全管理業務の中の一つであり、構成部分において非常に重要である。

考えてみてください。壊れた部屋に住んでいたら、私たちは安全ですか？

企業ネットワークもそうです。

障害だらけのネットワークが、企業情報とインターネットアプリケーションの安全をどうやって保障することができますか？

しかし、脆弱管理は比較的複雑な仕事です。

この仕事を実際に行うには、以下の内容を考えなければならないと思います。

一、ネットスキャンですか？それともホストですか？

もし手抜かりを補うためには、まずどのような手落ちがあるかを知る必要があります。補修に着手することができます。

そのため、バグ管理の第一の仕事は既存のホストに対して少し描写し、どのような穴があるかを確認することです。

現在一般的に通行しているのは、ネットワークの中の一つのホストコンピュータからネットワーク内のすべてのホストコンピュータを少し描写しています。一部の描画ツールを利用して、例えば、ストリーミングなどの便利なネットワーク内のすべてのコンピュータを少し描写して、彼らの操作システムの穴が抜けているのを見つけます。

フローライトでツールをなぞってもいいです。企業のネットワーク内のどのホストが管理者口座のパスワードを設定していないか、あるいは簡単なパスワードを設定しているだけです。このツールを使って、企業内のホストがデフォルトで共有されているかなどを少し描いてもいいです。

もう一つは本体を少し描きます。

ネットワーク内のすべてのホストに少しの描画ツールをインストールし、ホストを少しずつ描画します。

今いくつかのウイルス対策ソフトがあれば、金山毒霸や瑞星などのウイルス対策ソフトは、すべて手抜かりがあります。

これらのツールを利用して、私たちのネットワークセキュリティ管理者は、オペレーティングシステムに存在する攻撃される可能性のある脆弱性を簡単に見つけることができます。

この2つの点描方式を利用して同じホストを少し描きますと、スキャンした情報が完全に一致しないかもしれません。

なぜですか？

実は、ネットはすこし描写してハッカーのようです。私達のネットをスキャンするように、得られた情報は簡単な情報だけかもしれません。それに、他の様々な方面の制限のため、スキャンしたのはすべてのホール情報ではないかもしれません。

本体端をスキャンすると、より詳細な情報が得られ、すでに知っているシステムのすべての脆弱性が発見されるかもしれません。

ホストでスキャンできるなら、私たち管理者はもっと多くの情報を知ることができます。

残念なことに、ホストコンピュータでオペレーティングシステムごとにスキャンして、作業量は非常に大きいです。

だから、私達は実際の状況によって、仕事量と安全性の間でバランスを取る必要があります。

筆者の提案：

筆者は実際の仕事では、この2つの方法を採用しています。

筆者が一般ユーザーのオペレーティングシステムについては、ネットワークを通じてスキャンし、彼らの穴を発見し、修復している。

ネットワークアプリケーションサーバについては、会社のデータベースサーバ、ファイルサーバなど、定期的にマシン上でスキャンしています。

一方、サーバーは一日24時間運行しています。私達はタスクスケジューリングコマンドを利用して、暇な時に、深い12時にサーバーをスキャンしてもいいです。そうすると、スキャンの作業はサーバーの昼の時間の運行に影響しません。一方、サービスは企業内では少数ですから、スキャンするのも面倒ではありません。

また、サーバーの安全性は、一般ユーザーのオペレーティングシステムよりも重要です。

サーバーにとっては、ホスト側でスキャンする必要があります。

一般ユーザーのオペレーティングシステムについては、ネットワークの遠隔スキャンだけが必要です。

私達はネットを通じてスキャンして、いくつかハッカー、木馬などのスキャンすることができる隙をスキャンして、それから修復を加えます。

このようにすれば、ユーザーの操作システムが木馬やウイルスに攻撃される確率を減らし、企業のネットワークの安全性を高めることができます。

二、いつスキャンしますか？

いつホストをスキャンしますか？

一日に一回ですか？それとも週に一回ですか？それとも一ヶ月に一回ですか？

理想的な観点から言えば、もちろん頻度が高ければ高いほどいいです。そうすれば、私達は一番早い発見ができます。

しかし、私たちも知っています。本機のスキャンやインターネットスキャンに関係なく、資源を消費し、ホストとネットワークの性能に大きな影響を与えます。

ネットワークスキャンを採用すると、スキャン中に比較的多くのネットワーク帯域幅を占め、他のネットワークアプリケーションの効率を低下させる。

例えば、筆者はテストを経て、ネットスキャンを開いている時に、同時に一つのファイルサーバに5 Mぐらいの大きさの写真をコピーします。これはネットスキャンを開いていない時に、半分近くの時間がかかります。

スキャンが頻繁すぎると、企業の他のネットワーク業務の正常運行に大きく影響します。

このために、より合理的なスキャン周波数を設定し、安全性を満足させながら、正常業務に対する悪影響を最小限に抑える必要があります。

筆者の提案：

この点については研究がありますが、今は筆者の観点を共有しますので、よろしくお願いします。

1、例外がない場合、筆者は2ヶ月に一度企業のコンピュータに対してホールスキャンを行います。

2月末の最後の週末に決めます。金曜日のお昼の休憩時間を利用して、会社のパソコンをスキャンします。

これは二時間ぐらいかかります。

私達の企業では昼は一時間半ぐらい休みますので、ユーザーのネットのスピードに対しても30分ぐらいしか影響がありません。

ユーザーにその理由を説明しても納得できます。

2、例外がある場合は特務を行います。

私達はいくつかウィルスのウェブサイトの上でできるならば、例えば金山毒霸のウェブサイトの上で、最近どんなウィルスが流行していることを見ます。

この時、私たちはいくつかのスキャンを対象に取ることができます。

つまり、この時点でスキャンするということは、マルチオペレーティングシステムが最初から最後までスキャンする必要はなく、これらのウイルスや木馬が攻撃した具体的な脆弱性をスキャンする必要があるということです。

そうすると、スキャンの範囲を縮小してスキャンの効率を向上させ、ユーザーへの影響を最小限に抑えることができます。

3、任意のスキャン記録については、クエリーを準備するために記録を流します。

筆者はスキャンするたびに、スキャンの記録を以前の記録と比較します。

比べてみると、どのような脆弱性がありますか？私達はずっと修理していません。適切なパッチが見つからなかったのですか？それともこのパッチは既存のソフトウェアと衝突していますか？また、この抜け穴は企業に大きな害を与えていません。

同時に、従業員システムを再インストールしてからは、再スキャンする必要はありません。

最近のスキャンの結果によって、その穴を修理すればいいです。

そうすると、私たちがスキャンする時間を節約できます。

それと同時に、これらの穴は記録をスキャンして、ネットワークの安全障害を解決するのにも役立ちます。

ある時、ユーザーから彼のメールボックスに登録した人がいると言われました。

彼のメールには一部のメールがあります。彼は自分で読んだことがありませんが、メールの中にはすでに読んでいます。

筆者は彼のパソコンの最近の脆弱性スキャンの記録を見ると、ひどい穴がありました。どうしてパッチがかけられていないのですか？

この抜け穴は最近流行しています。ユーザーIDとパスワードを盗む木馬が利用する穴です。

そして私はこの木馬を利用して専ら道具を殺して、そのコンピュータの上で捜索して殺して、やはりこの木馬の姿を発見します。

ですから、私たちがこのスキャン記録の価値を十分に掘り起こすことができれば、彼は私たちの安全作業に役に立ちます。

三、修理する前にテストをちゃんとしなければなりません。

私たちは抜け穴を見つけたら、パッチを適用してもいいですか？

実はそうではないです。

私たちはそのために穴を開ける時、やはり局部のコンピュータでテストしたほうがいいと思います。この穴のパッチがコンピュータ上の他のソフトに衝突するかどうか見てください。

衝突した時に後悔するよりも、先にテストの仕事をしたほうがいいですか？

一般的には、マイクロソフトのオペレーティングシステムとオフィスソフトが公開しているパッチについても、いくつかのテストが行われます。

しかし、彼らがテストした内容は企業が今使っているすべてのソフトウェアに関係しないかもしれません。

以前に筆者が出会ったように、XPシステムのSP 2パッチをインストールした後、筆者の企業が使っているオープンソースの作図ソフトが使えなくなりました。

その後、システムをインストールし直して、2003年にOSをアップグレードしました。

幸いにもハードウエアの構成は2003システムをサポートできます。そうでないと、大変です。

筆者の提案：

筆者はこの面で何度かの教訓を持っていますが、パッチが適用されると、もともとオペレーティングシステムで実行されていたソフトウェアが正常に動作しなくなったり、動作速度に大きな影響が出たりします。

実を言うと、筆者の会社にもいくつかの海賊版のマイクロソフトOSがあります。パッチをつけたら、この海賊版のOSが使えなくなり、ユーザー登録などのヒントがあります。

だから、私たちの親切を避けるために、企業のサイバーセキュリティ管理者たちはパッチをインストールする時、十分なテストが必要です。その後、大規模なパッチを適用して、穴を修復することができます。

そうでないと、穴が埋まってしまいますが、企業の現在の応用に大きな影響を与える可能性があります。

じゃ、私たちは引き合わないです。