本书通过指出实际工作中漏洞和风险的来源,讨论了漏洞管理的各个方面及其与VM程序的整体关系,同时也描述了VM在公司风险管理和安全态势维护方面发挥的其他作用,还讨论了实施漏洞管理的各阶段工作,如制定策略、规划流程、选择漏洞技术产品、制定工程计划等。
前勒口
作者简介
Park Foreman 资深漏洞管理专家和信息安全战略专家,资深国际安全顾问,群邑(GroupM)集团的全球信息安全主管,在信息技术领域工作20余年,经验十分丰富。作为一名安全技术顾问,他帮助金融和电信行业的多家公司实现了各种安全目标,并为财富100强企业设计、实施和管理其安全架构。他曾负责贝尔实验室相关应用系统的应用程序开发工作,还曾为世界上最大的几个安全运营中心工作,包括AT&T公司的卓越安全中心(Security Center of Excellence)。此外,他还是一名技术作家,在全球顶级专业期刊(如《Internet Protect》、《ISSA Journal》等杂志)上发表过多篇文章,是全球多个安全组织中信息安全主题和论文的作者。
封面
资深国际信息安全顾问20余年跨国工作经验总结,以创新的方法从多个角度全面讲解了漏洞管理的理论、方法与最佳实践!
结合真实情境阐述了安全漏洞防范的战略视野和措施,帮助读者从技术、流程和管理的角度全面了解漏洞管理,掌握评估和减弱内外部漏洞的行之有效的方法。
封底
??随着企业信息化步伐的加快和信息化程度的提高,企业的信息安全问题变得日益突出。企业部署和使用的应用程序越多,存在安全漏洞的可能性就越大,漏洞的管理也会越复杂。漏洞管理(VM)与安全威胁相伴而生,历史也一样悠久,快速寻找出潜在的安全漏洞并对其进行修复的系统化反应能力已成为所有组织的命脉,这对于任何现代化企业的生产力都至关重要。
??本书由拥有20余年跨国公司信息安全管理工作经验的安全漏洞管理专家Park Foreman编写,内容涵盖安全漏洞管理的各个领域,着重讲解了安全漏洞管理的战略、视野、理论、方法和最佳实践,能满足不同领域、不同层次的安全工作者的需求。
本书涵盖的核心内容如下:
● 漏洞管理的重要性,以及企业和政府应该如何认清自己所面临的安全威胁和挑战;
● 漏洞产生过程分析,以及为什么应该使用漏洞管理程序;
● 漏洞管理程序的结构和技术开发,以及操作者和贡献者所扮演的角色;
● 各种漏洞扫描的技术和方法;
● 漏洞测试数据标准和漏洞严重等级评价标准;
● 漏洞管理所需要掌握的核心技术;
● 漏洞管理的流程和方法;
● 漏洞管理的规划、执行、汇报与分析;
● 策略漏洞。
后勒口
黑客大曝光:无线网络安全(原书第2版)
黑客大曝光:Web应用程序安全(原书第3版)
黑客大曝光:恶意软件和rootkit安全
内核漏洞的利用与防范
渗透测试实践指南
漏洞管理原书
漏洞管理(Vulnerability Management,VM)已经有了上千年历史,城市、部落、国家和企业都会触及该学科的知识。漏洞会让潜在的攻击者有机可乘,任何机构的成功管理和运作都依赖于对漏洞进行检测和修复的能力。以往,人们修筑城堡,在城市中建造防御设施和高级预警系统,这些都是他们意识到自身的脆弱性并为了抵御危害而采取的各种措施。如今,我们检测到在软件系统、基础设施以及企业战略中也都存在一些漏洞,这些漏洞通常需要从多个角度、以创新性的方法来解决。
本书是一本信息安全从业人员的指导手册,读者包括安全工程师、网络工程师、安全部门的官员或首席信息主管(CIO)等在内的安全行业从业人员,系统地介绍了什么是漏洞管理及其在组织机构中的作用。本书涵盖了漏洞管理的各个重点领域以满足不同读者的需求。技术章节从宏观视角介绍了漏洞相关内容,不打算太纠结于技术细节的决策者也可以读懂这部分内容。其他有关流程和策略的章节,也能为领导层提供一定的参考,但主要是从工程师或安全主管的角度介绍了漏洞管理技术及其流程在企业中所起的作用。
作者建议对漏洞管理领域感兴趣的读者阅读相关章节,并略读其余章节。如果不能以长远的眼光全面理解漏洞管理的各个方面,将难以有效参与漏洞管理的任何一个环节。通常,员工们会担心他们在某个过程中承担的工作看起来毫无意义。希望本书介绍的内容能够在一定程度上减轻这种焦虑。
致谢
nCircle网络安全公司的Tim Erlin先生着重从完整性和准确性角度审阅了技术相关章节,他所提的建议见解深刻,对我有很大的帮助。Ben Rothke先生着重从清晰性角度协助审阅了原稿。
随着企业信息化步伐的加快和信息化程度的提高,企业的信息安全问题显得日益突出。企业部署和使用的应用程序越多,存在安全漏洞的可能性就越大,漏洞的管理也会越复杂。漏洞管理(VM)与安全威胁相伴而生,历史一样悠久,快速寻找出潜在的安全漏洞并对其进行修复的系统化反应能力已成为所有组织的命脉,这对于任何现代化企业的生产力都至关重要。
本书由拥有20余年跨国公司信息安全管理工作经验的安全漏洞管理专家Park Foreman编写,内容涵盖安全漏洞管理的各个领域,着重讲解了安全漏洞管理的战略、视野、理论、方法和最佳实践,能满足不同领域、不同层次的安全工作者的需求。
本书涵盖的核心内容如下:
(1)漏洞管理的重要性,以及企业和政府应该如何认清自己所面临的安全威胁和挑战;
(2)漏洞产生过程分析,以及为什么应该使用漏洞管理程序;
(3)漏洞管理程序的结构和技术开发,以及操作者和贡献者所扮演的角色;
(4)各种漏洞扫描的技术和方法;
(5)漏洞测试数据标准和漏洞严重等级评价标准;
(6)漏洞管理所需要掌握的核心技术;
(7)漏洞管理的流程和方法;
(8)漏洞管理的规划、执行、汇报与分析;
(9)策略漏洞。
(美)Park Foreman 著:暂无简介
吴世忠 郭涛 董国伟 张普含 译:暂无简介
随着信息技术的飞速发展,互联网日益成为人们生活中不可缺少的一部分,社交网络、微博、移动互联网、云计算、物联网等各种新技术、新应用层出不穷。但不管是Facebook、Twitter等新兴互联网公司的迅速崛起,还是Android日益成为智能手机市场的主流操作系统,信息安全一直都是永恒的话题。“震网病毒”和“火焰病毒”事件凸显了网络武器的实战破坏能力,关键信息基础设施保护已成为世界各国网络空间防御的新重点;“维基泄密”事件彰显网络空间攻防双方的不对称性,“百密难免一疏”成为保密防范永远的痛;究其根源,所有这些信息安全事件都存在一个共同点—信息系统或软件自身存在可被利用的漏洞。因而,漏洞分析和风险评估日益成为信息安全领域理论研究和实践工作的焦点,越来越引起世界各国的关注与重视。
为推动国内的漏洞分析和风险评估工作,提高国家信息安全保障能力和防御水平,中国信息安全测评中心长期跟踪和关注相关领域的理论进展和技术进步,有针对性地精选一些优秀书籍译成中文,供国内读者参考借鉴。
本书从基本概念、重要作用、关键技术、流程管理等多个角度深入阐述了漏洞管理的运作及其发挥的作用。基本概念部分以风险管理的作用和漏洞管理的起源为切入点,分析了信息安全产业目前存在的缺陷及挑战,以及漏洞的诸多来源,并通过具体实例展现了失败的漏洞管理带来的巨大损失,进而说明了漏洞管理对于企业的重要作用;关键技术部分介绍了多种实用的漏洞管理技术,包括主动和被动扫描、漏洞测试数据标准、漏洞严重等级标准、美国国家漏洞库(NVD)等,这些技术可以有效辅助漏洞管理工作的开展,极大提高管理效率;流程管理部分,阐明了以信息技术基础架构库–IT服务管理(ITIL-ITSM)流程和保障漏洞预警(IAVA)流程为基础的漏洞管理过程,以组织和规范漏洞管理工作,并深入介绍了此过程中形成的各类报告的形式和内容,最终说明了更高层面的策略性漏洞的管理方法。
本书翻译工作还得到了中国信息安全测评中心的章磊、王眉林、贾依真、吴健雄、张翀斌等同志的支持和帮助,在此深表感谢。
本书得到中国信息安全测评中心“漏洞分析与风险评估”专项工程、国家自然科学基金项目(90818021、61100047、61272493)的支持。
译者序
前言
第1章 绪论/1
1.1 风险管理的作用/2
1.2 漏洞管理的起源/3
1.3 安全产业及其缺陷介绍/4
1.4 来自政府和产业的挑战/5
1.5 漏洞的来源/5
1.6 有缺陷的漏洞管理示例/5
1.7 漏洞管理的重要性/6
第2章 漏洞体验/7
2.1 简介/8
2.2 漏洞产生过程/8
2.2.1 复杂性/9
2.2.2 连通性/10
2.2.3 互操作性/10
2.3 创建漏洞:一个例子/11
2.4 使用漏洞管理程序的理由/13
2.4.1 网络过度开放/13
2.4.2 安全系统配置标准缺失/14
2.4.3 重大经济损失风险/14
2.4.4 收益损失/15
2.4.5 生产力损失/15
2.5 漏洞管理程序故障/16
2.5.1 案例研究1:获得组织的支持 /16
2.5.2 案例研究2:技术集成的挑战/22
第3章 计划和组织/33
3.1 概述:计划结构/34
3.2 漏洞管理计划和技术开发/36
3.3 参与者/37
3.3.1 操作者角色/37
3.3.2 贡献者角色/39
3.4 策略和信息流/40
3.4.1 现行策略/40
3.4.2 新策略/41
3.4.3 合规和统辖/42
3.5 小结/44
第4章 漏洞管理技术/45
4.1 简介/46
4.2 总体架构/47
4.2.1 硬件模式/47
4.2.2 用户提供的硬件和虚拟化/49
4.3 代理/50
4.3.1 代理架构/50
4.3.2 优点与缺点/52
4.3.3 检测方法/53
4.4 被动网络分析/53
4.4.1 优点与缺点/56
4.4.2 检测方法/57
4.4.3 物理层/57
4.4.4 数据链路层/58
4.4.5 网络层/58
4.4.6 4至7层/58
4.5 主动扫描技术/58
4.5.1 优点与缺点/59
4.5.2 检测方法/59
4.6 混合方法/82
4.7 推理扫描/83
4.8 CVE/83
4.8.1 结构/84
4.8.2 CVE的局限/86
4.9 漏洞测试数据标准/86
4.9.1 架构定义/87
4.9.2 系统特征架构/88
4.9.3 结果架构/88
4.9.4 测试描述/88
4.10 漏洞危害程度评价标准 /92
4.11 美国国家漏洞库 /98
4.11.1 CPE /98
4.11.2 XCCDF/100
4.12 SCAP/101
4.13 Nessus/102
4.13.1 优点与缺点/103
4.13.2 扫描模型/103
4.13.3 使用Nessus/104
第5章 选择技术/107
5.1 概述/108
5.2 总体需求/108
5.2.1 责任分担/108
5.2.2 时间表/110
5.2.3 标准/112
5.2.4 报告/113
5.2.5 高级报告/115
5.3 自动化/116
5.3.1 标签生成/116
5.3.2 流程整合/117
5.3.3 流程和系统的灵活性/117
5.3.4 补丁管理支持/118
5.4 体系结构/118
5.4.1 被动的体系结构/119
5.4.2 基于代理的体系结构/119
5.4.3 主动扫描的体系结构/120
5.4.4 保证平台安全/124
5.4.5 系统整合/125
5.5 定制与整合/126
5.6 评分方法/127
5.7 访问控制/129
5.7.1 活动目录/129
5.7.2 RADIUS和TACACS+/130
5.7.3 授权/130
5.8 部署方法/131
5.8.1 主动扫描器部署:物理部署/132
5.8.2 虚拟扫描器/133
5.8.3 被动分析器的部署/133
5.8.4 代理部署/134
5.9 小结/135
第6章 过程/137
6.1 介绍/138
6.2 漏洞管理过程/138
6.2.1 准备/139
6.2.2 发现/140
6.2.3 轮廓/140
6.2.4 审计/141
6.2.5 修复/141
6.2.6 监控和调整/141
6.2.7 管理/142
6.3 基准/142
6.4 ITIL-ITSM流程/144
6.4.1 服务支持/144
6.4.2 服务台/146
6.4.3 事件管理/146
6.4.4 服务交付/148
6.4.5 其他方面/149
6.5 IAVA流程/149
6.6 数据分级/152
6.6.1 案例研究:Big Tyre Corporation/153
6.6.2 数据分级流程/154
6.7 风险评估/154
6.7.1 信息收集/155
6.7.2 安全控制评估/156
6.7.3 业务需求/157
6.7.4 资产估值/158
6.7.5 漏洞评估/159
6.7.6 安全控制措施有效性评估/160
6.8 小结/160
第7章 执行、汇报与分析/161
7.1 介绍 /162
7.2 发现报告/162
7.3 评估报告/165
7.4 框架报告/168
7.5 审计报告/171
7.5.1 主动扫描审计报告/171
7.5.2 被动扫描审计报告/172
7.5.3 审计趋势分析/174
7.6 主动扫描:时间安排与资源/177
7.6.1 审计参数/177
7.6.2 时间安排/180
7.7 审计趋势与性能报告/180
7.7.1 基本报告/180
7.7.2 高级报告:控制图/184
7.7.3 介绍漏洞群:控制性能报告/187
7.8 合规性报告/190
7.8.1 系统合规性报告/190
7.8.2 合规性执行总结/192
7.9 小结/193
第8章 规划/195
8.1 介绍/196
8.2 章程制定/197
8.2.1 介绍:业务价值/197
8.2.2 目的和目标/197
8.2.3 范围/198
8.2.4 假设/198
8.3 业务用例/199
8.4 需求文档/199
8.5 安全架构建议/201
8.6 RFP/202
8.7 实施计划/202
8.8 操作流程文档/204
8.9 资产估价指南/205
8.10 漏洞管理策略/205
8.11 部署策略/206
8.11.1 基本策略/206
8.11.2 基于风险的策略/207
8.11.3 改进的时间表/208
8.12 部署标准与进展报告/209
8.13 小结/209
第9章 策略性漏洞/211
9.1 介绍/212
9.2 操作环境/215
9.3 管理外部因素/216
9.4 控制内部漏洞/217
9.4.1 业务模式/218
9.4.2 业务程序/218
9.4.3 复杂性/219
9.4.4 反应方案/219
9.4.5 漏洞方法论与变更/220
9.4.6 复杂性/222
9.5 规避原则/223
9.6 了解对手/225
9.6.1 优点与缺点/225
9.6.2 现实事件/226
9.6.3 目的与目标的对比/227
9.6.4 时间放大效应/228
9.6.5 政治环境加剧攻击/229
9.7 小结/229
第10章 总结/231
10.1 介绍/232
10.2 跨领域机会/233
10.3 跨技术机会/234
10.3.1 代理/234
10.3.2 补丁管理/235
10.3.3 应用渗透测试/235
10.4 流程缺陷/236
10.5 运行环境的变化/238
10.5.1 省时/238
10.5.2 节电/238
10.5.3 分布式计算/239
10.6 报告/241
10.7 服务水平协议/241
10.8 小结/241
