安全内容自动化协议能否彻底解决漏洞管理难题

如今，漏洞评估工具已经成为大多数安全小组必备的工具之一，随着安全项目的不断成熟，安全团队也开始寻找能够将这些重复性评估工作自动化的工具。

　　这些漏洞评估应用程序已经可以很好的识别出Web应用程序、补丁管理、配置、系统和数据库硬化中的常见错误。但是随着漏洞评估产品和服务的增多，我们开始面临新的问题。

　　任何需要维护一定规模的基础设施或者网络结构的企业可以轻松的使用很多不同的应用程序、服务和工具来维护和检测漏洞问题，这些工具中包含的V.A扫描仪可以检查应用程序、数据库、主机和网络中的安全漏洞。

　　漏洞管理程序可能还需要部署SaaS(软件即服务)来协助自动工具或者手动测试的漏洞检查。静态源代码分析工具用来内部存储漏洞数据。

　　这种漏洞数据可能包括web应用程序漏洞，如VA扫描仪错过的技术漏洞，以及因缺乏程序或者意识造成的社会工程学问题。

　　海量数据

　　在某些情况下，我们开始发现，安全项目的成熟度可能带来复杂性和更多数据，但是这些数据还只是冰山一角。那么CISO要如何连接所有这些数据呢?管理层在进行系统修复时应该先优先处理哪些问题和漏洞呢?

　　将这些漏洞问题排列有限秩序后，我们如何对漏洞管理系统中的漏洞进行跟踪和更改呢?

　　这里的问题不仅仅是管理企业所有的海量数据，现在还需要管理通过不同方式(包含重复漏洞或者错误漏洞的漏洞评估报告等)描述的所有数据。查明出漏洞和问题已经不再是企业关注的主要问题，我们还需要对他们做些什么。

　　为了关闭这些漏洞，安全团队需要开始整理数据并将数据陈列给管理层、开发人员和工程师，以找出真正的问题。 越来越多的管理工具会带来很多重复性的工作，这将很大程度上浪费安全专家等劳动力。

　　因此在考虑这个问题时，有以下6个基本要求：

　　·方式统一化: 所有的漏洞数据都需要以同样的方式进行描述，以便能够在主机、网络、应用程序和数据库漏洞间进行数据对比。

　　·使用现有的标准: 不要再另外建立标准。

　　·连接数据： 如果没有这样做，就无法解决问题，我们的解决方案的主要目的在于这些数据、报告和跟踪带来的复杂性。

　　·确定标准： 这可能是一个比较容易的要求，毕竟企业现有的项目中已经有很多漏洞指标，当数据连接在一起时，要求有更多的标准来跟踪和衡量我们的工作。

　　·有效的报告： 一旦集中化、统一化和关联化这些数据，我们就能够打开数据库并对数据进行优先排序。

垂询热线：010-6266-9982-8062
电   话：17710167951
腾 讯 Q Q：1839340219
联 系 人：马玮廷
地   址：北京市海淀区上地十街1号院5号楼15层