定义你的目标
提前了解您想要实现的与安全相关的目标将有助于为您的组织设计最高效和有效的部署。
了解你的商业案例才能了解你的目标
如果您还没有定义部署的目标,或者在此过程中遇到困难,请首先查看业务模型和技术环境,以确定您的安全需求。
考虑诸如网络拓扑、技术资源(硬件和带宽)、人力资源(安全团队成员和其他利益相关者)、时间和预算等因素。
你的企业有多大?
您的企业包含多少网络、子网和资产?
企业的规模是决定部署多少扫描引擎的主要因素。
贵公司的地理位置如何?
您的网络部署在多少个物理位置?这些地点在哪里?它们是相隔数千或数万英里,还是隔城而过,还是紧挨着?防火墙和dmz位于哪里?
这些因素将影响您部署扫描引擎的方式和位置,以及配置站点的方式。
你的网络是如何划分的?
您的企业内的IP地址和子网范围是什么?
网络分割是扫描引擎部署和站点规划中的一个因素。
如何在多个站点中查看资产?
资产在称为站点的逻辑分组中被扫描。有关将资产附加到站点的详细信息,请参阅主题添加资产的最佳实践.根据您的需要,您可能希望在多个站点中扫描相同的资产。例如,一个资产可能属于一个站点,因为它的地理位置,而属于另一个站点,因为它是PCI审计的一部分。
如果您计划在多个站点中拥有资产,请考虑是否希望这样做链接不同站点中的每个资产的实例,以便在整个部署过程中将其视为相同的实体,或者将每个实例视为唯一的实体。有关这些选项的更多信息,请参见跨站点链接资产.
你的资产存量是多少?
您使用的资产类型是什么?它们的功能是什么?它们上面运行着哪些操作系统、应用程序和服务?哪些资产是物理硬件,哪些是虚拟的?相对于防火墙和dmz,这些不同的资产位于哪里?支持其他资产(如VPN服务器、LDAP服务器、路由器、交换机、代理服务器和防火墙)的隐藏网络组件有哪些?您的资产库存是否经常变化?或者今天列出你所有资产的电子表格会在一个月内过期吗?
资产库存影响站点规划和扫描模板选择。
你的资产清单是否包括员工带回家的笔记本电脑?笔记本电脑带来了一套全新的安全问题,使防火墙变得毫无用处。对于笔记本电脑,您的组织实际上是在您的安全范围内接受外部设备。网络管理员有时会通过允许用户将笔记本电脑或家庭系统连接到虚拟专用网络(VPN)来无意中创建进入网络的后门。
此外,远程工作的笔记本电脑用户可以通过许多不同的方式无害地制造漏洞,比如在没有公司强制控制的情况下浏览网页,或者插入个人USB存储设备。
一个包括笔记本电脑的资产清单可能要求您创建一个特殊的站点,当笔记本电脑连接到您的本地网络时,您可以在工作时间扫描该站点。也可以考虑使用自适应安全功能来扫描上网的笔记本电脑。
一个可能的环境是:“Example, Inc.”
在回答上述问题时,您可能会发现创建表很有帮助。下表列出了一家名为“Example, Inc.”的公司的网络和资产信息。
网段 |
地址空间 |
数量的资产 |
位置 |
资产的功能 |
|---|---|---|---|---|
纽约的销售 |
10.1.0.0/22 |
254 |
1号楼1-3层 |
工作站 |
纽约 |
10.1.10.0/23 |
50 |
2号楼:2层 |
工作站 |
纽约打印机 |
10.1.20.0/24 |
56 |
1、2号楼 |
打印机 |
纽约非军事区 |
172.16.0.0/22 |
30. |
协同定位设备 |
Web服务器 |
马德里的销售 |
10.2.0.0/22 |
65 |
3号楼:1层 |
工作站 |
马德里的发展 |
10.2.10.0/23 |
130 |
3号楼:2、3层 |
工作站 |
马德里打印机 |
10.2.20.0/24 |
35 |
3号楼1-3层 |
打印机 |
马德里非军事区 |
172.16.10.0/24 |
15 |
3号楼:暗室 |
文件服务器 |
企业的“热点”是什么?
哪些资产包含敏感数据?你的网络周边有哪些资产?您是否在防火墙之外运行Web、电子邮件或代理服务器?
具体关注的领域可能需要放置扫描引擎。此外,您可能会对某些类型的高风险资产使用某些扫描模板。例如,Web Audit扫描模板最适合于Web服务器。
你有哪些资源?
你有多少局域网(LAN)和广域网(WAN)带宽?你们的安全预算是多少?运行扫描需要多长时间?什么时候可以在不中断业务活动的情况下运行这些扫描?
这些考虑因素将影响您使用哪种扫描模板、如何调整扫描以及何时安排扫描运行。有关设置站点和扫描的信息,请参阅用户指南中的发现部分。
您的组织的安全风险究竟是什么?
攻击者远程侵入您的网络有多容易?是否存在多个登录挑战来降低他们的速度?攻击者利用企业中的漏洞有多难?数据保密的风险是什么?数据的完整性?数据可用性?机密性、完整性和可用性(CIA)是量化和分类组织中的风险的良好指标。
机密性是防止数据泄露给未授权的个人或系统。如果攻击者窃取客户信用卡数据会发生什么?如果木马让黑客能够访问您公司的机密产品规格、业务计划和其他知识产权,该怎么办?
完整性是保证数据的真实性和完整性。它是防止未经授权的数据修改。当病毒清除了你工资数据库中的记录时,会发生什么?可用性是指在需要时可以访问数据或服务。对您的Web服务器的拒绝服务攻击将如何影响您营销产品或服务的能力?如果网络攻击使你的手机瘫痪了怎么办?这会削弱你的销售团队吗?
如果您的组织还没有尝试对风险进行量化或分类,您可以使用报告来提供一些指导方针。为每个扫描资产生成风险评分的算法根据CIA因子计算得分。
其他风险有直接的商业或法律影响。攻击会对组织的声誉造成什么危险?违约会赶走客户吗?有可能被起诉或罚款吗?
了解企业面临的风险可以帮助您设置部署扫描引擎、创建站点和安排扫描的优先级。
该应用程序提供了强大的工具来帮助您分析和跟踪风险,以便您确定补救的优先级并监控环境中的安全趋势。请参阅用户指南中的“使用风险策略分析威胁”和“使用报表中的风险趋势”主题。
您的合规要求是什么?
许多组织收购InsightVM有一个特定的原因:它们必须遵守政府或监管其行业的私有实体强加的一组特定的安全需求。
卫生保健提供者必须按照《健康保险可携带性和问责法》(HIPAA)的要求保护患者数据的机密性。
许多公司,尤其是金融行业的公司,都要遵守萨班斯-奥克斯利法案(SOX)中规定的安全标准。
与政府进行业务往来的美国政府组织和供应商必须遵守其Microsoft Windows系统的联邦桌面核心配置(FDCC)政策。
进行信用卡和借记卡交易的商家必须确保其网络符合支付卡行业(PCI)安全标准。
该应用程序提供了许多遵从性工具,例如帮助您验证这些标准遵从性的内置扫描模板。有关扫描模板及其规格的列表,请参见在哪里可以找到SCAP更新信息和OVAL文件.
对于正式的PCI扫描,该应用程序提供了额外的工具,包括PCI认可的报告、用于特定于PCI的站点配置和漏洞异常管理的Web接口特性,以及用于管理报告分发的扩展的应用程序程序接口(API)功能。有关更多信息,请参见ASV指南,您可以向技术支持请求。
检查是否符合配置标准
该应用程序提供了几个工具来根据各种已建立的标准评估配置:
- 内置的USGCB (United States Government Configuration Baseline)扫描模板,包括Policy manager检查是否符合USGCB配置策略(参见扫描模板.)
- 内置的联邦桌面核心配置(FDCC)扫描模板,包括策略管理器检查是否符合FDCC配置策略(参见扫描模板.)
- 内置的Internet安全中心(CIS)扫描模板,包括Policy manager检查是否符合CIS配置基准(参见扫描模板.)
- 用于跟踪和覆盖策略测试结果的Web界面工具。
- 用于传播策略测试结果数据的XML和CSV报告。(见创建基本报告.)
- 用于查看SCAP数据和处理OVAL文件的Web界面工具(参见在哪里可以找到SCAP更新信息和OVAL文件.)
这些工具需要一个许可,以启用策略管理器和策略扫描特定所需的标准。
除了服从,你还有什么目标?
法规遵循目标可以帮助您定义部署策略,但重要的是要考虑法规遵循之外的问题,以确保安全性。例如,保护一组核心网络资产(如符合PCI要求的信用卡数据服务器)是很重要的;但这可能不足以保证您的网络安全——甚至不足以通过PCI审计。
攻击者会利用任何方便的入口来破坏网络。攻击者可能利用Internet Explorer的漏洞,在雇员浏览网页时在该雇员的电脑上安装恶意程序。恶意软件可能是一个远程执行程序,黑客可以用它访问更敏感的网络资产,包括那些被定义为对合规至关重要的资产。
依从性本身并不是安全的同义词。另一方面,一个实现良好的、全面的安全计划将包括更大的遵从可能性。
你的安保团队是谁?
你是一个人的公司还是IT部门?你是否领导一个由20人组成的团队,每个人都有特定的安全相关任务?您的组织中谁需要查看资产/安全数据,技术细节级别是什么?谁负责修补漏洞?影响谁将看到哪些信息的安全考虑因素是什么?例如,是否有必要阻止芝加哥分行的安全分析师查看与新加坡分行有关的数据?
这些注意事项将指示您如何设置资产组、定义角色和权限、分配补救票据以及分发报告。看到管理用户和认证.