雖然傳統(tǒng)防火墻、防間諜軟件、VPN加密等安全技術(shù)，在某些領(lǐng)域仍然起著不可替代的作用。但是它們中沒(méi)有一種方法能夠執(zhí)行所有安全措施中最基本的一條：對(duì)硬件、軟件資產(chǎn)以及它們的配置和漏洞進(jìn)行持續(xù)監(jiān)控和管理。

? ? 持續(xù)風(fēng)險(xiǎn)管理的三大基石

風(fēng)險(xiǎn)管理解決方案的選擇將直接影響公司的實(shí)際安全狀態(tài)。一個(gè)好的風(fēng)險(xiǎn)管理方案，應(yīng)該具備以下三大特點(diǎn)：

（1）盡可能多地采用自動(dòng)化。持續(xù)風(fēng)險(xiǎn)管理的許多步驟都是重復(fù)的，手工完成這些任務(wù)將會(huì)消耗大量的時(shí)間和資源。自動(dòng)化是確保風(fēng)險(xiǎn)管理以快速、系統(tǒng)和全面的方式完成，并在連續(xù)的過(guò)程中重復(fù)這些步驟的必要條件。

安全專(zhuān)家作為稀缺資源，不應(yīng)該被束縛在那些可以通過(guò)自動(dòng)化解決的簡(jiǎn)單重復(fù)的工作任務(wù)中。他們應(yīng)該去解決那些自動(dòng)化工具解決不了的問(wèn)題，例如，確定補(bǔ)丁的優(yōu)先級(jí)并對(duì)這些補(bǔ)丁的應(yīng)用提供指導(dǎo)等。

（2）使用可靠、安全的技術(shù)。應(yīng)該加大技術(shù)投入，慎重選擇那些尚在實(shí)驗(yàn)性階段或未經(jīng)驗(yàn)證的解決方案。畢竟涉及到業(yè)務(wù)系統(tǒng)和數(shù)據(jù)時(shí)，謹(jǐn)慎的安全總比大意的后悔好。

（3）自適應(yīng)業(yè)務(wù)的變化。風(fēng)險(xiǎn)管理解決方案最好能夠自動(dòng)適應(yīng)企業(yè)業(yè)務(wù)的復(fù)雜和需求的多元化。

? ? 持續(xù)風(fēng)險(xiǎn)管理方案選型建議

筆者建議，企業(yè)在選擇風(fēng)險(xiǎn)管理方案時(shí)，能夠從設(shè)計(jì)、部署、管理三個(gè)維度進(jìn)行考核，因?yàn)檫@些因素都對(duì)風(fēng)險(xiǎn)管理的成功部署起著至關(guān)重要的作用。

? ? 設(shè)計(jì)：建立強(qiáng)壯的風(fēng)險(xiǎn)評(píng)估

傳統(tǒng)針對(duì)主機(jī)掃描產(chǎn)品由用戶手動(dòng)部署在企業(yè)網(wǎng)絡(luò)上，但是存在一些不可避免的缺陷。如果將漏掃產(chǎn)品部署在防火墻外側(cè)，則容易受到攻擊和破壞，使得掃描產(chǎn)品的安全通信存在隱患；如果將漏掃產(chǎn)品部署在防火墻里側(cè)，也存在無(wú)法處理諸如傳輸格式錯(cuò)誤的數(shù)據(jù)包等漏洞。因此這類(lèi)掃描產(chǎn)品會(huì)存在很多漏報(bào)和誤報(bào)的情況。

青藤的風(fēng)險(xiǎn)評(píng)估產(chǎn)品采用的是云安全架構(gòu)，信息數(shù)據(jù)采集采用C/S模式，管理采用B/S模式?？蛻舳撕头?wù)端通信采用加密方式傳輸以及身份驗(yàn)證機(jī)制，在客戶端上對(duì)自身進(jìn)程、配置文件、服務(wù)等進(jìn)行保護(hù)，能防止進(jìn)程被非法注入、接口被惡意調(diào)用，具備掉線及時(shí)通知，并具備一定的自恢復(fù)功能。

? ? 部署：將操作復(fù)雜度降到最低

對(duì)于在全國(guó)或全球擁有多個(gè)數(shù)據(jù)中心的大型集團(tuán)客戶，部署傳統(tǒng)漏掃軟件，會(huì)消耗大量時(shí)間和資源，比如IT人員要部署所需的設(shè)施來(lái)運(yùn)行軟件，并且需要在防火墻中配置通信路徑。同時(shí)，將漏掃獲取數(shù)據(jù)與安全管理平臺(tái)集成也會(huì)存在諸多問(wèn)題。

青藤Agent 只需一條命令就能在主機(jī)上完成安裝，且自動(dòng)適配各種物理機(jī)、虛擬機(jī)和云環(huán)境。運(yùn)行穩(wěn)定、消耗低，能夠持續(xù)收集主機(jī)進(jìn)程、端口、賬號(hào)、應(yīng)用配置等信息，并實(shí)時(shí)監(jiān)控進(jìn)程、網(wǎng)絡(luò)連接等行為，還能與 Server 端通信，執(zhí)行其下發(fā)的任務(wù)，主動(dòng)發(fā)現(xiàn)主機(jī)問(wèn)題。

基于主機(jī)Agent掃描方式，安裝時(shí)不影響正常業(yè)務(wù)運(yùn)轉(zhuǎn)，無(wú)需重啟服務(wù)或系統(tǒng)，并且采用非內(nèi)核驅(qū)動(dòng)技術(shù)避免主機(jī)出現(xiàn)藍(lán)屏和崩潰等現(xiàn)象，采用非抓包技術(shù)減少對(duì)性能影響。安裝流程簡(jiǎn)潔快速，單臺(tái)服務(wù)器安裝時(shí)間不超過(guò)三分鐘。

? 管理：提供有效低成本的解決方案

傳統(tǒng)漏掃產(chǎn)品，在大規(guī)模部署中，會(huì)產(chǎn)生昂貴管理成本。比如，掃描不同網(wǎng)段主機(jī)時(shí)候，掃描結(jié)果割裂獨(dú)立。IT人員如果想要了解整個(gè)企業(yè)風(fēng)險(xiǎn)情況，需要花費(fèi)大量時(shí)間手工整理風(fēng)險(xiǎn)視圖。面對(duì)軟件更新、打補(bǔ)丁等常規(guī)動(dòng)作，也需要在各節(jié)點(diǎn)上進(jìn)行硬件維護(hù)和數(shù)據(jù)備份。

青藤風(fēng)險(xiǎn)評(píng)估產(chǎn)品提供系統(tǒng)規(guī)則包的離線上傳更新功能，用戶自助手動(dòng)更新規(guī)則，在能連接外網(wǎng)的情況下，可以支持在線同步更新規(guī)則功能；支持系統(tǒng)各類(lèi)通知的告警功能，包括如下分類(lèi)：資產(chǎn)清點(diǎn)，風(fēng)險(xiǎn)發(fā)現(xiàn)，入侵檢測(cè)，安全通告，產(chǎn)品動(dòng)態(tài)，系統(tǒng)監(jiān)控。同時(shí)，防止通知風(fēng)暴問(wèn)題，所有通知均進(jìn)行聚合處理。

? ? 寫(xiě)在最后

間歇性風(fēng)險(xiǎn)評(píng)估的效果是是短暫的，一旦環(huán)境發(fā)生變化或新威脅出現(xiàn)將失效。如果想要通過(guò)風(fēng)險(xiǎn)管理幫助企業(yè)提高安全性，那么應(yīng)該進(jìn)行持續(xù)掃描。當(dāng)使用自動(dòng)化風(fēng)險(xiǎn)管理解決方案時(shí)，持續(xù)風(fēng)險(xiǎn)管理變得相對(duì)容易。

zhangnn