為對付日益增長的網絡攻擊，許多公司聘用了首席信息安全官(CISO)。CISO的職責就是確保數據的安全性。但頻繁發生的數據泄露事件說明，實現數據安全任重而道遠。

很多CISO感到企業如同待宰殺的羔羊，企業的命運似乎就是在等待何時會發生重大的數據泄露。

為保護信息資產，CISO和其它安全專家們面臨著一個很大困難：既要跟得上網絡攻擊者的步伐，還要對照檢查越來越多的合規要求，并且密切注意合伙人和雇員的安全方法。

即使對于最有安全意識的IT團隊來說，解決網絡攻擊的絕對數量和不斷變化等問題也是很令人頭疼的。這項工作要求深入地理解企業的風險和漏洞，以及最新的威脅和解決這些威脅的最有效的策略和技術。只有理解了企業的風險，企業才能夠把“好鋼用在刀刃上”：將有限的安全資金專門用于最重要的技術和策略。

那么，公司如何用最有價值的安全信息來武裝自己呢?

許多網絡攻擊都利用基本的但常被人忽視的安全漏洞，例如不健全的補丁管理過程、弱口令、基于Web的個人郵件服務，缺乏對終端用戶的教育以及缺乏強健的安全策略等。這就使得有效的漏洞評估成為保護數據的關鍵一步。

即使最安全的網絡也有可能存在一些未知漏洞。漏洞掃描器是確認隱藏的網絡漏洞和主機漏洞的實用工具。但是，對許多企業說，漏洞評估是個技術活兒，并且其實施目的是為了合規，但與企業的業務風險沒有緊密聯系起來，與管理安全的預算決策也幾乎沒有關系。

漏洞評估一般都要確認成千上萬的漏洞，并且根據技術上的嚴重程度來對漏洞進行評級，卻沒有考慮受到影響的業務及過程。漏洞評估可能要建議多個補丁和升級程序，事實上用一個安全方案就可以解決上述所有問題。

但是，要想使漏洞評估更有成效，強健的安全策略就應當將漏洞對業務的影響、企業的總體安全策略、漏洞評估的結果聯系起來，使管理員不但可以理解真正的業務風險是什么，還能夠理解應當首先解決哪些漏洞，以及如何有效地解決漏洞。

漏洞評估人員應當能夠將漏洞評估與業務聯系起來。要從漏洞評估中獲得最大的好處，就要求評估者理解企業的關鍵業務過程，理解底層的基礎架構，并將這種理解應用到結果中。為確保有效性，漏洞評估應遵循如下步驟：

1.確認和理解業務過程

首先，評估者要確認和理解企業的業務過程，并重視那些關于合規、客戶私密、競爭等的關鍵且敏感的業務過程。在許多企業中，這要求IT與業務部門、財務部門、法律顧問等之間的協作。許多公司將安全策略團隊與每個部門的代表招集到一起，協同工作，分析業務過程及其依賴的信息和基礎架構。

2.查找業務過程所依賴的應用程序和數據

在根據任務的關鍵程度和敏感性確認了業務過程并確定了其優先順序后，下一步就是確認這些關鍵過程所依賴的應用程序和數據。此任務仍然要通過IT和其它業務部門的協作來完成。通過廣泛的協作和討論，評估者就可以發現那些比預料的更加生死攸關的應用。例如，對某部門來說，電子郵件可能是絕對關鍵的，但對許多其它部門來說，卻并非如此。

3.發現隱藏的數據源

在尋找應用程序和數據源時，要確保考慮到移動設備(如智能手機)及桌面PC等設備。這些設備往往包含著企業業務過程的最新和最敏感的數據。漏洞評估者要與業務部門合作，理解哪些人正在使用移動設備訪問和共享公司的應用和數據，理解在這些設備和數據中心的應用及存儲之間的數據流。要確認企業的用戶是否在通過公共的電子郵件服務發送業務郵件。還需要調查的另一個隱藏的問題是企業的軟件開發環境，因為它本來就比生產環境更不安全。軟件開發者和測試者往往使用最新的，有時甚至是關鍵數據來測試新應用和升級后的應用程序。

4.決定支持應用和數據的基礎硬件

評估者還要確認基礎架構層，確認運行關鍵業務應用的服務器(其中包含虛擬的和物理的)。對于Web和數據庫應用來說，評估者可能要考慮每個應用的至少三套服務器，即Web服務器、應用服務器、數據庫服務器。評估者要確認哪些設備保存著由這些應用程序使用的關鍵業務和敏感數據。

5.要詳細調查和確定連接硬件的網絡基礎架構

為了實現快速且安全的性能，評估者要理解路由器和應用程序、硬件賴以運行的其它網絡設備，要理解其相互的連接關系。

6.確認已經部署了哪些控制

評估者要注意已經部署的安全和業務連續性措施，其中包括策略、防火墻、應用防火墻、入侵檢測和防御系統、虛擬私有網絡(VPN)、數據泄露預防(DLP)、加密，等等，以便于保護每一種保存關鍵應用和數據的服務器和存儲設備。要理解這些保護的關鍵功能，以及這些保護可以最有效地解決哪些漏洞。這些工作可能要求廣泛調查，其中包括掃描網站、與安全公司的員工交流，等等。

7.運行漏洞掃描

在理解了應用程序和數據流及其底層的硬件、網絡基礎架構、保護機制等之后，就可以真正實施漏洞掃描了。

8.將業務和技術應用到掃描結果

掃描器可能會產生大量的有不同嚴重程度的漏洞，但是由于結果和評級是基于客觀衡量過程的，所以決定企業的業務和基礎架構的環境是很重要的。從漏洞數據中獲得有意義的和可操作的信息是非常復雜和困難的任務。在評估員工的知識水平和工作量后，評估者可能會認為，與一個精通安全和威脅評估的公司進行合作是很重要的。不管評估者是在公司內部來評估，還是由外部人員評估，評估者都需要對結果進行分析，并決定應當首先解決哪些基礎架構的漏洞。在此，評估者需要考慮五個問題：

首先是漏洞所涉及的資產的數量和重要性

如果漏洞影響到多種不同的資產，尤其是那些涉及到關鍵任務過程的資產，評估者就應當立即全面的解決這個漏洞。另一方面，如果漏洞掃描器在基礎架構中找到了多個漏洞，而此基礎架構運行的是一些由少量用戶訪問的不太重要的應用程序，這些漏洞就不屬于需要迫切解決的漏洞。

已有控制

如果掃描所確認的漏洞影響到了已部署過多層保護的基礎架構，這些漏洞有可能已經被已有的技術解決了。例如，如果在一個服務器或存儲設備上發現了一個受到應用防火墻、加密和其它措施保護的漏洞，尤其在數據的使用受到了嚴格的合規限制時，這個漏洞就不如測試和開發環境中保護程度不夠健全的基礎架構中的漏洞重要。很重要的一點是，要權衡漏洞的嚴重程度，并決定哪些漏洞會真正地將企業暴露給外部的網絡攻擊。

可用的安全技術

評估者的漏洞評估報告有可能提供了很多軟件補丁和升級建議，但是不斷地應用補丁和升級會消耗IT的大量時間和資源。還可能存在其它的更高效的安全技術。例如，對于跨站腳本攻擊漏洞，我們可以通過合理地部署WEB應用防火墻來解決，而不必不斷地給多個組件應用補丁和升級程序。問題的關鍵是，評估者要理解在實施某些安全技術和策略時，風險狀態會發生怎樣的改變。

位置

網絡攻擊經常利用基礎架構中最薄弱的鏈條，并且這些薄弱的鏈條往往出現在分公司、移動設備(包括筆記本電腦、智能手機、平板電腦等)以及由銷售和營銷人員所使用的其它設備。如果掃描顯示在分公司或另一個基礎架構中存在大量漏洞，評估者就需要進一步調查和實施更多保護措施。

關注環境的重要性

只有將漏洞掃描的結果放在業務背景下，并且考慮已有的安全基礎架構時，漏洞掃描才會產生真正的價值。在分析評估結果時要牢記業務風險意識，并且將這種觀念應用到強健的安全策略的制定中，由此，CISO和其它的IT管理員才能幫助企業充分利用安全預算，并強化總體的安全和合規形勢。