McAfeeVulnerabilityManagerPoCSoW(MVM测试计划).doc

McAfee Vulnerability Manager 7 x 产品测试计划 McAfee 中国 目录 1 测试概述 3 1 1 MCAFEE VULNERABILITY MANAGER 风险管理 3 2 客户信息 4 3 MCAFEE 和 代理商联系方式 5 4 MCAFEE 分工界面 5 5 测试环境信息收集 6 6 环境准备 6 7 产品配置设备开箱上线 7 8 FOUNDSTONE 的升级 14 8 1 申请升级的用户名和密码 14 8 2 输入用户名和口令 完成升级 14 9 用户的创建和配置 17 9 1 GLOBAL ADMIN 的创建 17 9 2 创建用户和权限 18 10 资产的自动发现及录入 21 10 1 登陆 MCAFEE FOUNDSTONE 21 10 2 资产的自动发现 21 10 3 资产的录入 23 10 4 资产优先级定义 23 11 执行风险评估 25 12 威胁关联 29 13 安全风险监控和量化的风险等级 30 14 弱点修补工作流管理 31 15 报表管理 33 16 功能评估 37 17 产品评估需求及选择评估标准 40 1 测试概述 平衡风险优先级是风险管理的关键所在 您能否确定可能危及业务的最严重威胁和关键漏洞 作为全面安全风 险管理解决方案的一个重要组件 McAfee Vulnerability Manager 能够轻松查找 评估和修补漏洞 从而使您能够保 护宝贵的资产并遵守相关法规及策略要求 在 McAfee 的风险管理体系中 主要有 4 个组成部分 用户可以根据自身的环境并结合 McAfee 的风险管理模型建设 信息安全管理体系 资产发现和资产的优先级划分 制定策略 在公司的网络中都有哪些资产 那些资产的威胁会严重影响到业 务系统 定义可以接受的安全风险 根据资产威胁对业务系统影响程度及采用防护手段的投资去权衡该风险是否可以 接受的风险 实施防护 如何进行安全风险的降低 预防及规避 法律法规遵从性 如何准确判定您是否遵从了主要的法规 Fig 1 McAfee 安全风险管理模型 1 1 McAfee Vulnerability Manager 风险管理 在 McAfee 的 SRM 风险管理体系中 Vulnerability Manager 是整个风险管理的核心 它能够准确的标识用户的资产 并按照资产同业务系统的关联性对资产进行赋值 用户面临的风险是一个动态的过程 随着网络的系统 业务系统得 变化而变化 一个很小的系统漏洞能够导致业务系统中断 用户重要数据丢失 甚至于整个系统中断 信息安全系统管理员要防护和降低企业的信息资产所面临的各种安全威胁和安全漏洞 如何判断各种资产的安全威胁 的重要性 哪些资产的优先级最高 那些威胁是必须防护的等 都需要管理员能够快速 准确的识别和防护 一个成熟的安全风险管理软件应能够满足用户的如下需求 1 提供企业信息资产的优先级 资产在业务系统重要程度信息 2 准确识别企业信息资产所面临的威胁并关联资产的优先级信息 3 提供完善的修补建议 如下图所示 企业需要将其信息安全管理人员的精力及资金放在最重要的信息资产漏洞修补和威胁防护上 下图中资 产 漏洞和威胁的交叉区域就是企业需要重点防护的区域 如果企业没有一个按优先级划分的风险管理系统 如果没 有一个能够按优先级的漏洞管理系统 企业将面临安全风险的不断威胁 Fig 2 McAfee 基于优先级的风险管理模型 Vulnerability Manager 为企业的管理层和 IT 管理员提供一种安全风险管理手段 是一个基于优先级的风险评估和管理 解决方案涵盖整个安全风险周期 包括从初始的安全策略制定到最终的法律法规遵从 通过该解决方案 企业会在以 下几方面受益 基于优先级的方法能够让企业的 IT 管理人员关注在最重要资产的风险管理上 通过自动扫描 集成企业工作流的和友好的管理界面能够极大的提高企业管理效率 持续度量和增强防护能够满足企业安全策略 安全法规的要求 能够帮助企业降低安全风险 2 McAfee 分工界面 McAfee 及代理商工程师 提前准备测试设备 测试软件 测试许可等 在测试环境配置测试设备 现场讲解如何使用测试设备 如何配置扫描任务 如何生产扫描报告 测试期间的接口人 测试期间的测试计划变更及参与测试项目例会 测试期结束后 协调测试设备下线 测试报告总结 3 测试环境信息收集 测试 IP 地址范围 网内扫描还是网外 从互联网扫描内部开放的服务 或全部 企业内网络分布 最关心的业务系统和操作系统有哪些 目前企业是否有 ticket 管理系统 4 环境准备 测试设备名称 Vulnerability Manager 名字 组织名称 如 公司名 部门名 测试设备 IP 地址分配 IP 地址 mask 默认网关 DNS IP 需要扫描的 IP 地址分布 5 产品配置 McAfee FoundStone 分为软 硬件 2 种产品供应形式 本次测试采用的是软件形式 硬件使用的是 Intel 硬件 产品 经过特殊的安全加固和配置 确保其自身的绝对安全 设备上线之前 请确保设备运转正常 能够正常进入 windows 2008 服务器 并且实现配置 如发现异常 则运 行自动恢复光盘 并完成新版本的升级 新版本升级过程如下 1 点击安装文件 如果是进行版本升级 将会提示为升级过程 绝大多数配置可自动完成 2 选择所需安装的 FoundStone 组件 3 选择所需表单的通知形式 可根据企业情况自行选择 4 选择对数据库的操作 是否使用原有数据库 5 输入 FoundStone 的基本参数和密码口令 6 配置数据库的 sa 的口令密码 7 最终完成安装过程 1 重启 foundstone 注册成功 所有 FoundStone 功能均须 license 完成之后进行配置 因此请注意 在测试之前一天完成 license 的准备和申 请工作 6 FoundStone 的升级 FoundStone 的核心功能是风险评估和管理 因此 对最新的威胁 漏洞以及资产信息的实时性要求很高 需要 实时在线 进行各个特征库的升级 在 FoundStone 系统当中 一共有 5 个特征升级库 安全威胁库 FoundStone 扫描模版库 漏洞库 语言包 FoundStone 软件升级 在完成 FoundStone 升级的过程中 需要两个步骤 6 1 申请升级的用户名和密码 FoundStone 的升级需要用户名和口令 因此 在实施和测试的前一天 也需要申请升级所需的用户名和口 令 同样是发送邮件到 licensing 提供客户的 grant number 以及用户名称 24 小时之内 将会收到 升级的用户名和口令 6 2 输入用户名和口令 完成升级 输入用户名和口令 并完成升级 如下图所示 7 用户的创建和配置 7 1 Global admin 的创建 在 FoundStone 设备上开启 FoundScan 设定 Global admin 的用户口令 需要按照强口令要求进行设置 默认 的口令为 Admin1234 如下图所示 7 2 创建用户和权限 1 通过 Global admin 权限进入 FoundScan 配置界面 如下所示 2 创建管理组织 3 输入需要评估的地址范围 4 创建用户名称和权限 5 管理员权限配置 6 完成所有需要的组织和管理员的输入和配置 8 资产的自动发现及录入 8 1 登陆 McAfee FoundStone 通过管理客户端登陆 FoundStone 管理界面 在 IE 浏览器中输入 https FoundStoneIP 地址 在组织 管理员 和密码中输入正确的信息 完成登陆过程 登陆完成之后 界面如下 8 2 资产的自动发现 1 使用 McAfee Foundstone Auto Discovery 被测试的对象 方法是启动 Auto Discovery 进行被测试对象的自动发 现 在操作界面中 选 Scan NewScan 在下面的弹出窗口中选择 Use a FoundStone template 选中 Asset Discovery Scan 后点击 OK 2 然后在弹出的下列窗口中输入要自动发现的 IP 地址范围 点击 OK 即可以自动发现要扫描的对象 测试对象发现 过程中开启了 OS 识别功能 8 3 资产的录入 当然 客户也可以通过 IP 地址直接输入资产列表 这比较适合已经有成熟资产管理的系统或网络环境 8 4 资产优先级定义 Foundstone Enterprise 具备网络资产管理功能 可提供使用者清查 追踪 管理客户网络上的资产 并依所需 以群组或单一系统的方式标示资产名称与定义资产重要性等参数 以作为后续安全评估时准确判定风险程度的分析依 据 通过浏览器 Login 到 FoundStone Server 设定自动发现的资产的优先级 资产的优先级由太保确定 资产优先级定义方法 选择 Manager Asset 选择计算和该计算机的属性 选择 Owner 和重要性级别 如下图 设置完资产的优先级后 即可以开始进行弱点扫描任务 9 执行风险评估 1 产生评估任务 选择 Scan New Scan 选择 Use FoundStone s Default Seeting 在下列窗口输入扫描名字 点击 Asset 从资产列表里添加扫描对象 选择扫描检测类型 注意 o 根据企业情况 产生多个扫描任务 扫描类型为 Sans Top 20 扫描 全部弱点扫描检测等 可根据企业情 况自行选择 o 全部扫描任务第一次完成后 配置评估的 Schedule 根据企业要求 设定风险评估周期 2 选择报表类型 选 html 报表 3 下一步选择 Active Immediately 后点击 OK 即可进行扫描测试 10 威胁关联 使用威胁关联可以将当前的最新的威胁和计算机网络中检测到的安全弱点关联 快速获得威胁响应 1 使用第一次的资产 Auto Discovery 和第二次全部弱点检测产生 Threat Business Unit 2 下载更新最新的 FoundStone 威胁更新 3 配置产生 Test Business Unit 3 选择威胁进行关联 3 查看不同时间威胁发生的可能性 威胁影响的业务单元和威胁发生的平台 还可以选择不同的弱点进行威胁关联 即时产生不同的威胁发生可能性和影响平台 11 安全风险监控和量化的风险等级 FoundStone Scan Engine 是即时在线的设备 通过弱点扫描 Schedule 可以随时了解 IT 资产的弱点变化和安全 风险变化 在 FoundStone 中通过 foundScore 来量化安全等级 FoundScore 越高 安全等级越高 当出现新的安全弱点或 新增有风险的 Services 时 FoundScore 值会降低 表示安全风险增加 FoundStone 中的风险等级计算公式是 100 Foundscore Threat Index 风险等级值越高 则表示安全风 险越大 在实施中 我们设定弱点扫描 Server Assess 定时在每进行三次扫描评估 通过 Admin 的 Dashboard 中的 每周平均 FoundScore 来观察随时间变化的 o 安全弱点变化情况 o Risk Level 的变化情况 12 弱点修补工作流管理 虽然 FoundStone 中包含了弱点修补的工作流管理 能够根据预先的定义 自动将检测到的弱点产生处理 Ticket 自动将邮件发送给相关的管理员 通知管理员进行修补 修补完后 管理员可以人工关闭该 ticket 也可 以由 FoundStone 自动关闭该 ticket 规则的设定 1 定义资产 Owner 在测试期间 所有被测计算机的资产 Owner 设定为相应管理员 2 在 FoundStone 上配置邮件服务器配置 以实现当出现新的漏洞处理 Ticket 时通过邮件自动发送到管理员 3 设置是选择 Manager Remediation 点击 New Rule 产生新的 ticket 自动相应规则 选择平台 Ticket 处理期限 ticket 处理者等 然后测试 在一次安全漏洞扫描完毕后 FoundStone 是否自动产生处理 Ticket 是否自动发送到 Ticket 处理 者 在 Ticket 所指定的安全漏洞修补完后 Ticket 是否能自动关闭 13 报表管理 FoundStone 的报表包含多个种类 其中可以进行自定义 1 报表列表 2 修补表单 3 威胁比对 4 风险曲线 5 漏洞等级 6 漏洞时间变化曲线 7 资产状况 8 资产漏洞状况 14 功能评估 Vulnerability Manager Enterprise 是一个企业级的风险管理平台 是一款基于优先级的解决方案 可集成和简化大中 型企业的漏洞管理 并实现漏洞管理的自动化 从而降低来自漏洞和威胁的业务风险 功能评估 准确性 OS discovery vulnerability scanning false positives rate etc 易用性 Scheduling multiple parallel scans invasive vs non invasive checks etc 层次化的软件架构 Distributed architecture Dashboard roll up global divisional detail view etc 基于角色的管理架构 Roles based access segmented users summary and drill down details 性能 Scan speeds scan tuning multiple parallel scans start stop pause etc 更新漏洞库 Automatic procedure for adding new Vuln Checks and reporting Notification response turnaround time etc 资产管理 Asset Discovery methodology customised OS prints for highest accuracy and variable asset criticality classification 威胁关联分析 Online updates of real time risks correlation with most critical Assets with or without existing Vulnerability checks 报告 Enterprise wide reporting summary and detailed views search capabilities trending etc 修补系统 Workflow system for assignment of Vulnerabilities fixes Monitoring tracking verification of fixes output to 3rd party systems 灵活性 Class C s B s A s Scanning of large internal external potential space 基于 shell 的安全评估 Granular and accurate vulnerability information on UNIX based systems and infrastructure devices such as routers and switches Windows 安全评估 Registry checks using credentials for patch levels policy compliance Level of capability without client agent software Web 应用安全评估 Complete page URL crawling admin authentication penetration testing etc 技术支持能力 Architecture installation deployment assistance Ongoing technical support 无线网络安全评估 Identification of wireless access points security configuration and rogue access points 计划任务 Scan windows pausing and multiple schedules 漏洞管理脚本语言 FSL Custom vulnerability checks 第三方产品集成能力 Sharing of scan data with 3rd party applications Vulnerability Manager Threat Correlation Module 无需重新扫描整个网络 Vulnerability Manager 通过将攻击您现有资产的威胁与漏洞数据相关联 在 几分钟内即可直观地显示新威胁的潜在风险 并对其进行评级 自动提供安全攻击和威胁的关联信息 并提供详细的介绍说明 基于系统 网络服务和漏洞信息为最重要的资产提供关联信息 可按资产和漏洞进行自定义威胁级别 按漏洞严重性 威胁级别和资产价值进行无人工干预的风险计算 内置的修补工单和修补工作流 修补凭证 修补工单进程报告 并可以集成第三方工单系统 提供修补建议和修补补丁下载连接和配置步骤等 能够导出威胁关联信息 能够根据最重要威胁关联进行快速响应 能够管理业务系统风险 Vulnerability Manager Remediation Module 通过 Vulnerability Manager Remediation Module 可以自动帮您修补和纠正由 Vulnerability Manager 识别出的漏洞 和违反策略的行为 集成的闭环修补工单系统 Remediation 提供具体的修补说明修补建议和修补补丁下载连接 按风险优先级提供修补工单建议 提供 One click 修补验证功能 3rd 的 help desk 集成 15 产品评估需求及选择评估标准 为了更好的适用于企业的安全风险管理需求 确保 McAfee Vulnerability Manager 安全风险管理解决方案满足企业的 实际需求 下列功能是产品功能测试的基本要求 这些基本功能应满足企业的业务系统的安全风险管理的需求 功能 期望值 是否符合 Yes No 1 资产和对象的自动发现 自动发现 2 资产和对象优先级定义 可详细定义 3 操作系统安全漏洞扫描检测 可进行详细扫描 4 威胁管理 5 动态安全风险监控和量化的风险等级 6 7 8 9 10