在安全问题上，绝不存在任何完美的网络和应用。检测网络防御中的重要漏洞未必是一个昂贵复杂的任务。如果企业愿意，当然可以花大把的钱去构建一个强健的、实时的网络漏洞管理机制，但这并非上策。根据公司需要保护的资产类型及资产的所在位置，甲公司的网络漏洞管理可能与乙公司的网络漏洞管理看似迥然不同。任何时候都不存在什么模板或最佳方法可以保护公司免受每种漏洞的威胁。但只要企业认真计划，就完全可以将漏洞管理转变成一个有益于确认并解决潜在安全漏洞的过程。本文将探讨如何构建有效的网络漏洞评估和漏洞管理的工具和最佳方法。

无疑，无论是应用软件还是操作系统都存在缺陷，换言之，没有哪个应用程序或操作系统不存在任何漏洞或不会遭受攻击。只要有足够的耐心、技能及专业技术，每一种软件都可被利用漏洞、被破坏、被禁用或被用于恶意目的。要让开发者预测黑客攻击应用程序的每一种方法是不可能的，所以网络团队需要对付针对关键应用的各种不可预料的攻击。

针对关键应用或其所在服务器的大多数攻击，其渠道基本上都来自IP网络。所以，部署一个强健的漏洞评估和管理方案有助于减少应用程序中的漏洞。当然，这并非易事。许多企业的IT开发者和安全专家往往没有密切协作，所以无法解决应用程序和网络的漏洞问题。在应用程序和安全团队之间建立密切联系至关重要，这是因为对应用程序的变更可能会带来安全专家应当了解的新漏洞，而对网络的变更也有可能招致针对应用程序的新攻击手段。总之，绝不应当把网络漏洞管理看成是一次性的或定期的体检，而应当把它作为一个持续的标准IT过程。

减少关键应用遭受攻击的最佳方法，或减少被攻击者用无法预测的方式利用漏洞的最佳方法是，经常检查黑客用来攻击关键系统的各种网络漏洞。

如果你正准备从头开始构建一种漏洞管理方法，最佳的起点是执行发现和审计。如果你不了解企业在哪里会发生信息泄露以及发生信息泄露的原因，就无法真正规划一套持续的网络漏洞扫描的长期策略和过程。漏洞管理并不仅仅是部署微软确定的严重等级的Windows补丁。网络漏洞管理的真正含义是，发现每一台主机有可能遭受的攻击手段，并用一种使攻击者更困难的方法来应对攻击。

例如，如果企业的环境主要运行Windows，不妨登录到任意一台Web服务器或应用服务器，并在命令提示符下运行“netstat -a”来查看服务器正在监听的所有TCP/UDP端口。在网络环境中，在对一台随机选择的服务器的测试过程中，如果发现试验的结果中存在红色标记，则表明在将服务器投入到生产环境之前需要解决这些问题。

当然，在一个大型的环境中，先登录到每一台服务器，然后再使用netstat命令决定特定主机的暴露端口和服务，这是不现实的。审计者及攻击者更愿意利用漏洞扫描器或Nmap之类的工具来快速扫描整个子网的端口，查找暴露了重要端口的主机。例如，在网络扫描中，RDP成为一种主要的红色标记，因为如果攻击者发现了一套可用的登录凭证，就很容易规划出网络的剩余部分，并留下后门，为以后的大型攻击做好准备。

在作者的试验过程中，发现有几台新设备都启用了默认的只读字串。在检查几台新路由器的SNMP时，可以轻易地发现正在运行的路由器类型，以及正在运行的代码版本。攻击者只要有了这些信息，花点时间就足以制定出攻击进入路由器或交换基础架构的策略。在扫描子网中的其它主机时，作者还发现一台在80号端口监听的APC的UPS（不间断电源）。通过谷歌搜索得知，这种UPS的默认用户名和口令都是“APC”。因而，笔者就能够轻松地访问UPS并且可以通过网络关闭它。有些管理员可能认为以默认用户名和口令运行的UPS不是漏洞，其实不然。

不管企业规模如何，加速漏洞发现过程的最佳方法是聘请外部的审计人员。在发现漏洞的过程中不应当指责谁，更不应该把现在的管理团队说得一无是处。毕竟，每个管理员都会犯错误，而且在某种程度上每个环境都有可能遭受攻击。许多企业被迫匆忙地部署了某种服务，结果使安全成了次要问题。在企业迫于无奈而部署服务时，IT往往会为没有使用最佳方法而内疚。但是，在转向了下一个任务或项目后，你遗留的漏洞便有可能长期存在。为了减少漏洞，系统管理员应当有条不紊地部署新服务。

为了安全地部署服务，安全团队在发现和审计过程（包括渗透测试在内）中有可能请求管理人员给予更多资源。对系统管理员来说，这个过程可以作为教育IT人员关闭各种攻击媒介和手段的方法，或是可以部署新服务以便于使安全漏洞最少化的一种途径。

请继续阅读防患未然：建立漏洞管理过程（下）。