中小企业安全策略：第四部分

Jordan Drysdale//

tl;dr 漏洞管理是当今在公共互联网上开展业务和运营的重要组成部分。将培训纳入这一关键控制措施。用户应该意识到攻击手段在不断演变，点击链接已不是唯一的感染方式。聘请值得信赖的托管服务提供商，让他们为您管理这些事务。

CSC 3 – 漏洞管理

关键控制 - “简单五项"现已变成"简单六项”

“简单"六项回顾：

• 硬件清单
• 软件清单
• 漏洞管理
• 受控管理员权限
• 域系统安全配置
• 日志控制

那么，我们完成了吗？

算是吧。实际上我们已经完成近一半了。那么，什么是漏洞管理？这要看情况…根据SecureWorks的说法，漏洞管理会消耗安全团队的资源。

我们在这里讨论的内容要比这更加细致。我将（在此背景下）漏洞定义为：可以使用普遍可用的各种软件工具包进行测试和验证的已识别或已公布的缺陷。现在，让我们明确一点，并非所有漏洞都能通过当前的"扫描工具"识别。例如，OWA。如果您的公司向公共互联网公开Outlook Web Access，这就是一个漏洞。对渗透测试人员来说，OWA是潜在的金矿。LinkedIn个人资料、Twitter、Facebook…如果您的员工在这里，这也算是一种漏洞。

那么，既然如此，中小企业如何评估和管理其漏洞？拥有和维护Nexpose、Nessus、Qualys等的许可证基本上是不可能的。这一点让我们回想起使用托管服务提供商的重要性。

筛选第三方服务提供商的要点：

• 如果您不知道，可以询问懂行的人
• 具有某种安全运营认证（SSAE-16、SOC）
• 合理成本 - 针对您少量IP地址的季度扫描和定向指导应该在每年五千美元左右（或更少，在我看来）

让我们退一步思考，托管服务提供商是否适合协调我们组织的所有IT工作。为30个系统、服务器、网络设备、漏洞扫描和某种托管帮助台添加托管服务提供商的投资回报率应该在2000-2500美元左右，这是合理的。如今，单个人力资源（员工）能够进入组织并管理即使是一个小型网络的复杂性是很罕见的。这些个人还带有福利和薪资标签，这使得支付MSSP的投资回报率更加合理。

现在您的组织已经准备好动员并实际运行一些漏洞扫描。首次运行漏洞扫描的公司，无论是在其网络内部还是外部，通常都会惊讶地发现他们的网络一团糟。就像这样：

在合同工作下，BHIS会温和地敦促客户审查围绕系统管理、修补和更新的政策和程序，特别是更新。如果您之前受到托管IT提供商的保护，现在是时候终止合作了。如果这种输出是他们首次接触您网络的结果，请再给他们一个季度的时间。

感谢阅读到这里，干杯！

第1-3部分：

• 中小企业安全策略：第一部分
• 中小企业安全策略：第二部分
• 中小企业安全策略：第三部分

外部链接 参考：https://www.cisecurity.org/controls/ 参考：http://www.onlinetech.com/resources/references/data-center-standards-cheat-sheet-from-hipaa-to-soc-2