目录执行摘要. 3 是时候主动出击了. 3 漏洞评估. 3 应用程序修补. 3 白名单和应用程序控制. 4 LANDESK 方法. 4 朝着更高安全成熟度坚持迈进. 5 参考资料. 5 在现行法律允

白皮书实现安全成熟度 2 级借助更强大的智能和系统修正方法提高主动性

目录执行摘要. 3 是时候主动出击了. 3 漏洞评估. 3 应用程序修补. 3 白名单和应用程序控制. 4 LANDESK 方法. 4 朝着更高安全成熟度坚持迈进. 5 参考资料. 5 在现行法律允许的最大限度内,LANDESK 对于与 LANDESK 产品的销售和 / 或使用相关的任何事项概不负责, 并且声明免于任何明示或暗示的担保, 包括与特定用途的适用性适销性或专利版权或其他知识产权侵权相关的责任或担保 ( 若未限定版权所有之权利 ) LANDESK 保留在任何时候不经事先通知即对本文档或相关产品的规范与描述进行更改的权利 LANDESK 对本文档的使用不做任何担保, 不承担本文档中可能出现的任何错误的相关责任, 也不承诺对本文档中所包含的信息进行更新有关最新的产品信息, 请访问版权所有 2014, LANDESK Software, Inc. 及其附属公司保留所有权利 LANDesk 及其徽标是 LANDESK Software, Inc. 及其附属公司在美国和 / 或其他国家 / 地区的注册商标或商标其他品牌和名称可能被其他公司宣称为其财产 LSI-1309 05/14 AS/BB/MP 2

执行摘要本白皮书是一系列三份白皮书中的第二份, 探究为什么企业需要成熟的分层式方法来构建安全管理, 以及 LANDESK 可如何帮助客户满足其对分层式方法的需求第一份白皮书是第 1 级 : 从构建强大的安全防线和资产智能开始, 讨论了开发分层式安全方法的第一步第 1 级围绕着如何通过资产发现和清单来了解您环境中的软件和硬件来展开, 然后是实施针对恶意软件攻击的第一层防御, 比如防病毒和防间谍软件, 从而拦截特定威胁或针对其提供保护然后, 为实现更多保护,IT 管理员应使用能阻止特定的入站或出站连接的个人防火墙此外, 对于减少与操作系统漏洞相关的安全风险而言, 随时更新 Microsoft Windows 和其他操作系统的补丁至关重要因此, 发现和清单是了解网络动态的重要环节建立这一基本的安全级别之后,IT 部门应通过本白皮书中将讨论到的漏洞评估安装应用程序补丁白名单和应用程序控制变得更加主动是时候主动出击了恶意软件中的犯罪性创新越来越具创意成本越来越高, 而威胁环境也仍在快速演变独特恶意软件的数量急剧膨胀, 且基于 Web 的越来越多企业必须借助更强大的智能和系统修正来变得更为主动 Gartner, Inc. 的分析师 Peter Firstbrook 和 Neil MacDonald 说到 : 大多数企业安全保护工作和产品都主要关注于拦截和预防技术 ( 比如防病毒 ) 以及基于策略的控制 ( 比如防火墙 ), 以此来拦截威胁但是, 完美的预防是不存在的高级的针对性攻击可以轻易绕过传统的防火墙和基于签名的预防机制现在, 所有企业都假设自己处在一个存在持续性危害的环境中但是, 企业又轻信可以实现 100% 的预防, 它们正过度依赖于基于拦截和签名的机制来得到保护结果在漏洞不可避免地出现之时, 大多数企业所具备的检测和响应能力都十分有限, 而这就导致了漏洞的停留时间更长, 从而造成更大的破坏实际上, 再进一步改进预防检测响应和预报能力才是应对所有攻击类型所需的全部条件, 不管是高级攻击还是普通攻击, 都是如此此外, 这些不应被视为孤立的功能 ; 相反, 它们应成为一套集成的适应性系统, 智能地配合工作, 从而构成一套针对高级威胁的完整保护流程 1 一种显而易见的变得更为主动并前进到安全成熟度曲线上第 2 级的方法是漏洞评估应用程序修补白名单以及应用程序控制 LEVEL 1 LEVEL 2 LEVEL 3 LEVEL 4 Control Chaos Reactive Discovering Alerting 终端安全成熟度曲线漏洞评估 Security Risk OS Patching Personal Firewall Antivirus/anti-spyware Application Patching Security Configuration Application Blacklisting On Demand Reporting Vulnerability Assessment Security Risk Proactive 漏洞是设备整体安全性的薄弱环节威胁会利用这些薄弱环节, 从而可能损坏计算机或个人数据公司的 IT 部门需要评估环境的漏洞并确定可采取哪些措施来保护公司资产 IT 人员在企业中设置用户角色并为 IT 环境设置安全策略之后, 他们即可评估所有可能的安全瑕疵并在攻击发生之前予以修复安装应用程序补丁随时安装最新的应用程序安全补丁是 IT 最为复杂且工作量最大的工作之一 Forrester Research, Inc. 的分析师报告说, 补丁管理对终端安全而言是不可或缺的 : 网络犯罪瞄准终端 ( 服务器和员工笔记本 / 台式机 ) 以访问有价值的数据, 它们通常使用恶意软件作为攻击工具安全专家通过利用一系列工具, 拦截恶意代码执行, 拦截恶意软件执行恶意操作, 或加强应用程序环境, 从而达到保护脆弱软件的目的防恶意软件工具非常重要, 但它们并非完美无缺, 也还远远不够因此, 在恶意软件检测工具失效的情况下, 通过漏洞检测和修补来加强应用程序和操作系统就成为了至关重要的一条防线 2 必需具有强大的补丁管理解决方案, 包括扫描漏洞评估修正下载和暂存分发以及维护功能除 Microsoft Windows 和 Office 应用程序以外, 维护功能必须扩展到越来越常见的目标, 例如非 Microsoft 浏览器和应用程序媒体播放器以及备份和安全软件 3

白名单和应用程序控制具有更高安全性体验和成熟度的企业已经意识到, 仅使用黑名单并不起作用, 因此他们开始依赖黑名单防火墙入侵检测系统 (IDS) 和防病毒软件相结合的方式尽管所有这些措施都是必要的, 但它们仍不足以抵抗不断演变的威胁和各式各样的攻击途径, 这促使企业利用白名单来声明允许哪些应用程序和连接并阻止其余的应用程序和连接如果白名单设置正确, 可能会减少使用黑名单和防病毒应用程序的必要性 Gartner, Inc. 的分析师 Peter Firstbrook 和 Neil MacDonald 说到 : 应用程序控制解决方案可以通过强制推行默认拒绝的应用程序执行环境来提供出色的主动防护, 在这种环境下, 仅允许执行已知的应用程序这些解决方案远比之前几代应用程序控制解决方案都易于管理, 这应归功于其中包含的应用程序声誉服务, 其提供了已知应用程序目录和受信任的变更来源, 这将白名单的持续维护工作降至最低程度即使在仅监测的模式下, 应用程序控制工具也可以帮助进行检测活动, 它可以突出显示那些未得到大规模散布的新可执行文件, 或声誉较低的可执行文件应用程序控制是一种非常有效的解决方案, 它针对那些不常变更的终端, 或不进行程序修补的系统, 比如旧计算机 ( 即 Windows XP 等 ), 或嵌入式系统, 比如销售点系统流程控制器自动柜员机以及医疗设备 3 LANDESK 安全套件使实施白名单策略变得轻松无比首先, 可设置白名单来了解应用程序的现有行为, 然后设置策略来确定现有应用程序的哪些方面是可接受的, 并阻止可能包含会感染环境的恶意软件的其他应用程序可利用 LANDESK 位置感知功能定义受信和非受信网络, 然后为整个企业设置策略可在 IT 管理员控制台上的单个视图中查看所有此类策略可利用定义位置感知策略的功能来开放权限或者加强企业内部的安全策略许多 IT 部门都发现了将基于主机的入侵防护系统 (HIPS) 技术作为其端点安全性组成部分的好处 HIPS 技术集成了防火墙沙盒和各种系统级操作的应用程序控制它对于保护非受信环境 ( 如宾馆 Wi-Fi 网络 ) 中使用的便捷式计算机非常有用, 并且还有助于防止流氓应用程序执行恶意操作一旦 HIPS 功能发现可疑行为, 它不仅会阻止该行为, 并且还可以就这一问题向 IT 管理员发出警告缓冲区溢出保护已成为 HIPS 的一个重要组件此功能可防止环境暴露利用程序等待用户输入的漏洞通过在发生时检测栈分配或堆分配变量上的缓冲区溢出并防止它们成为严重的安全漏洞, 缓冲区溢出保护增强了可执行程序的安全性 LANDESK 方法 LANDESK 安全套件简化了 IT 人员在更加主动建立成熟安全性方面的工作此解决方案提供标准且高频率的漏洞评估扫描功能以快速轻松地确定配置安装补丁和软件更新需求可设置自定义扫描以定义搜索特定条件组的细节定义和维护安全配置由于使用基于角色的管理和基于策略的管理工具而得以简化 LANDESK 还针对成千上万个应用程序提供最广泛的漏洞评估, 从而使您可以查看潜在的风险并确定是否满足公司的标准当贵企业需要遵守以下标准时显得更加重要 : PCI 支付卡产业联盟 FDCC 联邦桌面计算机配置 SCAP 安全内容自动化协议 FISMA 联邦信息安全管理法案 HIPAA 健康保险流通与责任法案 LANDESK 智能补丁管理是 LANDESK 安全套件的一个组成部分, 它为混合 IT 环境中的操作系统和应用程序提供集成的漏洞评估补丁搜索下载暂存和分发功能补丁解决方案支持各种 Windows 操作系统以及 Macintosh 和 Linux 操作系统 LANDESK 定向多播和 LANDESK 对等下载技术提高了部署速度并降低了分发带宽要求, 同时无需其他的硬件或路由器重新配置操作例如, 一家大型跨国公司仅使用 5 台服务器即可将补丁部署到遍布全球的超过 77,000 个节点, 并且在 5 天内达到超过 95% 的修补率部署可实现自动化, 并且可将补丁缓存到目标计算机上以便随后激活和安装并且, 在添加 LANDESK 流程管理器自动化补丁部署之后, 可通过进行中的全自动化更新流程 ( 它们会利用可修改的工作流自动化审批和试验组 ) 来配置新的补丁 LANDESK 主机入侵防护系统 (HIPS) 是 LANDESK 安全套件的其中一个功能, 它会针对各种基于非签名的恶意代码防御和应用程序控制提供应用程序控制, 以便为防病毒和防间谍软件系统提供补充以及防御恶意软件病毒库不可用的零日漏洞经过验证的行为识别技术会阻止恶意行为 LANDESK HIPS 是用于控制系统上执行的应用程序的一个强大工具, 其可指定经过批准的应用程序能执行哪些行为 4

朝着更高安全成熟度坚持迈进对于任意单一针对性解决方案而言, 如今的威胁环境太过变化多端, 它们难以实现有效的保护唯一可行且可用的防御策略是改用结合多个保护技术层的更为成熟的安全模式 LANDESK 客户体验了分层端点安全性的世界级解决方案, 它已通过市场的验证并已做好立即部署的准备客户可通过单个控制台管理所有的安全资源, 并自动化日常流程以降低成本和减轻管理工作量并且, 最为重要的是, 它们可以部署一个可根据业务和技术要求轻易扩展和调整的安全基础架构有关 LANDESK 分层终端安全性解决方案的更多详细信息, 请咨询 LANDESK 产品代表 : 010-85153668 参考资料 1 Peter Firstbrook and Neil MacDonald, Designing an Adaptive Security Architecture for Protection From Advanced Attacks, Gartner, Inc., 2014 年 2 月 12 日,p. 3. 2 Chris Sherman, John Kindervag, and Rick Holland, Introducing Forrester s Prioritized Patching Process: Leverage Predictive Threat Modeling and Data Value for a Context- Based Approach to Patch Prioritization, Forrester Research, Inc., 2013 年 11 月 11 日, p. 2. 3 Peter Firstbrook and Neil MacDonald, Malware Is Already Inside Your Organization; Deal With It, Gartner, Inc., 2014 年 2 月 12 日,p. 8. 5

目 录 执 行 摘 要. 3 是 时 候 主 动 出 击 了. 3 漏 洞 评 估. 3 应 用 程 序 修 补. 3 白 名 单 和 应 用 程 序 控 制. 4 LANDESK 方 法. 4 朝 着 更 高 安 全 成 熟 度 坚 持 迈 进. 5 参 考 资 料. 5 在 现 行 法 律 允

目录执行摘要. 3 是时候主动出击了. 3 漏洞评估. 3 应用程序修补. 3 白名单和应用程序控制. 4 LANDESK 方法. 4 朝着更高安全成熟度坚持迈进. 5 参考资料. 5 在现行法律允