【TechTarget中国原创】从宏观角度看,配置管理(configuration management)可能是描述与这一阶段有关的活动的最好术语,虽然这一状态也可以称为漏洞管理(vulnerability management)。不论如何称呼,按我们划分时间线的目的,攻击之前的阶段可以从逻辑上分为两个分离的时间段。
为了完成对计算机环境的适当配置,通常在进攻之前相对较长的时间(比如,几周或是几天)对系统的安全性进行评估。这就需要查明已建立措施的缺陷和漏洞,这两种都可能是软件编码的错误,也可能是配置的错误。可以应用各种各样的扫描技术,检查到的问题随后要进行处理,比较典型的是打补丁,重新配置受影响的设备或是重新配置上游的安全设施。
很明显,这些都是具有积极意义的预防性措施。它们构成了通常的方案。这种方法建立在周期性的快照基础之上,这种技术在应用的数量方面不断的减少,因为发现一个漏洞到利用该漏洞进行攻击之间间隔的时间在持续地缩短。相反,下一代入侵防御技术正在定义的一个特征是显著减小评估周期的能力,理想的情况是在某种程度上提供一些永远在线的、被动式的扫描功能,与按指令进行的、有较强针对性的主动扫描功能配合。
攻击之前的第二个部分指一个潜在的攻击正要发起实际进攻的那个时间。这是传统的访问控制工具发挥作用的领域,比如防火墙和具有ACL(access control list,访问控制列表)的路由器,它们可以用例行措施阻止一个迫在眉睫的攻击,这是它们配置参数中包含的规则。虽然这一方法并不足以抵抗攻击,这些工具在使问题域变得更加容易管理方面还是非常有效的。下面第三部分会谈到,也存在更为动态的使用这些工具缓解攻击的潜力。
在下面的部分我们仔细地考查与攻击之时和攻击之后这两个阶段有关的技术和过程。