全部送洗吧

要將煩瑣的弱點管理委外出去聽來簡單，但企業還是得知道箇中細節。

　　大家都喜歡把難搞的工作丟給別人做。在家裡，有誰不想把清潔浴室、洗衣服，或倒垃圾等雜事委外出去？而在專業的IT世界中，又有誰不想把困難的弱點管理（VM, vulnerability management）工作委外出去？隨著修正程式不斷地增加，法規遵守成為必然，網路與威脅的模式也變得更加複雜，使得網路與系統弱點的管理對大多數企業來說已成為艱困的雜務。雖然將VM包出去對許多公司來講是理所當然的事情，但將安全機能委外遠比將衣服送洗要複雜多了。就讓我們看看將VM委外究竟是什麼意思，以及企業在評估VM委外的成本效益時，應該考量哪些技術與非技術的因素。

手洗

　　在考量VM委外之前，首先要了解什麼是VM。在IT的術語中，VM並不是泛指企業所有的可能弱點。全面的弱點還必須包括心術不正的CEO，或是因為產品思考不全面，導致行銷與銷售一蹶不振等。

　　當IT專家談到VM時，通常是指要如何在資源層面上找出並修正威脅。這意謂著得找出作業系統、應用程式，及資料庫等IT資源上的弱點，然後透過一些修正方式，如安裝修正程式或變更設定等，將弱點填補起來。

　　不過要注意的是，若是哪裡做錯了，可能會為企業帶來更大的弱點。例如，某個資料庫廠商可能為了修正一些不太可能發生的漏洞，而發行了某個修正程式，而這個修正程式本身又有一些問題，便有可能搞掛你的企業。來自非正常技術服務管道的自動回應、問題追蹤以及變更管理責任歸屬等，都有可能招致無法接受的風險。一些風險減緩管控的作法，例如在主要伺服器上安裝修正程式前先進行測試等，都可以將風險檢查以及反應與修正程序納入到企業的流程中。

　　為了完成這項任務，大多數公司都會在他們的VM系統中加入持續性的驗證與監控機制，有些公司還會透過VM系統將蒐集到的資料進行分享與管理。除了與工作流程以及變更管理方案整合外，VM工具可以透過外部工具分享重要的事件資訊，例如網路系統管理（NSM, network systems management）工具、安全事件與資訊管理（SEIM, security event and information management）工具、法規遵循儀表板工具，以及其他的關聯與分析工具等。

衣物分類

　　在考量VM委外時，必須將外部廠商的服務分成幾種類型。
以下是一般常見的VM委外服務；大多數外包商都會提供所有的服務，但服務細節請洽廠商為準：

　　資產識別—古語有云—「你無法管理你不了解的東西」—這句話也適用於VM的世界。每天都有數十個弱點被揭發，但是很少有弱點與你的網路有密切關係。要知道哪些弱點會影響到貴公司唯一方法，就是確實了解你有什麼東西。這也有助於了解系統在什麼位置。許多攻擊都是靠通訊埠阻斷的方式進行破壞，若是這些設備都放置在封包過濾的保護區內，弱點的風險便可減輕。資產識別服務會掃描你的網路，並傳回網路中有哪些系統，各安裝了哪些更新程式與設定層級等細部資訊。

　　弱點識別／評估—真實世界（in the wild）中存在了哪些弱點？VM外包商的提供的服務之一，就是取得並通知弱點與修正程式的相關資料。弱點資訊來源管道包括廠商及媒體報告等。在取得深入的資產識別資訊後，在這裡就會拿來與已知的弱點做評估。然後外包商會告知客戶他們的系統存在哪些問題，並提供建議的行動。

　　修正與更新程式—實際行動是VM關鍵，但修正行動是否能委外呢？這表示外包商會打電話給客戶，並採取必要的行動—從安裝更新程式，到重新設定防火牆的存取控制規則等，任何事都有可能。另外，外包商還可以與客戶的流程及技術支援系統相互整合，以便排定要佈署的修正程式，但實際的佈署行動還是得由客戶來完成。

　　控制驗證與監控—由於VM基本上是要關閉所有的弱點，因此最好是能有個稽核與驗證的機制，來確保所有的變更與更新程式都有妥善的處理。最好還能夠知道是誰核准了變更、誰執行了變更。外包商應該要提供客戶詳盡、且即時的稽核與驗證資訊。另外，許多企業也希望能從服務商那裡取得匯出的記錄資訊，以便與內部企業網路與事件管理引擎通透整合。

脫水

　　在實際將弱點管理委外之前，企業必須注意到幾個重要的架構考量外包商要在內部或外部進行掃描，還是全部都要？

　　如果外包商只在公司外部進行掃描（通常在防火牆之外），那麼他們就只能看到外部攻擊者所能看到的東西。雖然這些資料很有用，但是來自公司內部的漏洞仍然不可忽視。傳統的單一週邊已越來越往網路內部深入，並分散在主機與子網路中。

　　誰負責管理內部掃描器，資料要如何傳送給外包商？如果決定要讓外包商在網路中架設內部掃描器的話，得先釐清一些重要責任的歸屬。企業內部網路有多信賴外包商的掃描器？若是外包商的掃描器必須架設在受限區域中，受限區域的擁有者是否能適當地控制掃描器？

　　安全掃描侵略性的強弱？掃描的方法可以透過代理程式或是在網路上進行，可以加入使用者帳號，也可以不加入。代理程式的掃描方法必須在被掃描的每一台電腦上安裝一些程式。貴公司會放心在所有被監控的設備上安裝一段外包商的程式嗎？大多數公司都不這麼想，因此外包商也可以利用網路的掃描方式。雖然這種方式不需要安裝程式，比較不具侵略性，但視它們掃描的頻繁程度，可能會對網路流量造成負擔。

　　此外，VM掃描侵略性還得視是否使用帳號登入而定。若是使用帳號登入掃描，必須提供掃描器合法帳號密碼，讓它能夠以合法使用者的名義找尋弱點。這類的掃描可以找出更多的資訊—但是也可能讓系統損毀。有些掃描器會試著找出弱點（無論是否加入帳號密碼），但結果也有可能讓系統或服務損毀。請與你的外包商確認侵略的等級是否正確，以便將系統的破壞減到最小。

　　外包商蒐集到的資訊可讀性為何？就算外包商那兒有一堆令人驚羨資料，若你無法輕易地取得並理解，也是枉然。儀表板上資料近乎即時更新，還是有所延遲？有些VM外包商提供給客戶儀表板工具，能夠像安全作業中心一樣即時。另外，也要考慮資訊的存取是否安全，傳輸時是否有適當的驗證及加密，以及它是否能匯出主幹系統及主控台，例如SEIM或其他事件關聯工具等？

晾乾

　　所有考量將弱點管理委外公司，都必須認真看待責任的問題。最基本的底線就是責任不能被委外出去。公司負擔了額外的管理與監控責任。如果負責的伺服器在去年第四季停機的話，即使問題出在VM外包商身上，你的IT部門還是會被歸咎責任。只要記住，不管遭遇到任何的資訊遺失或停機事件，貴部門都必須負起責任。虛擬保險或許可攤銷因內外部錯誤所導致的所有損失。請思考外包商會取得怎麼樣的資料，以及你是否信任外包商持有這些資料。如果你的伺服器沒有安裝最新的修正程式，這是否會對貴組織構成威脅？這項弱點可能被駭客拿來攻擊，或是被律師用來作為怠於防禦的證明。另外，你還必須思考在IT團隊與外包商之間，需要怎麼樣的溝通。定義出各團隊之間的聯繫，可讓溝通過程更為成功。每週進行一次電話聯繫檢視有哪些值得注意的議題。溝通計畫還可擴大成通報及災難程序：什麼時候以及什麼原因下，外包商應該通知內部的系統管理者？怎樣才叫做緊急？在貴組織中，要經由怎麼樣的通報路徑，才能通知外包商採取行動解決？

　　當你的問題都獲得釐清後，請先把所有的東西寫下來後再行簽約。清楚、簡明，有效力的服務水準協定（SLA），能確保長期的關係更有效率。SLA中若能載明違約賠償的話更好。雖然責任是無法轉移的，但部份的損失卻可轉嫁給外包商。

只限乾洗

　　安全無法用ROI來驗證已是眾所皆知的事情；通常用來衡量的就只是不要發生最壞情況的成本。若要了解實際ROI，從可以清楚評量的指標下手，而不是用預估的方法。以VM委外來說，便可檢視這項服務可為貴公司節省多少人力成本。現在是否有全職人員負責內部掃描、監控弱點清單，以及佈署修正程式？如果有的話，如果將VM工作委外，有多少員工可重新指派其他的工作？別忘了你還是得保留一些人力負責管理與聯繫外包商，內部也得有人負責做通報以及變更管理核准工作。

　　總而言之，許多企業都在將弱點管理委外，以減少內部的人員與資源。VM委外可獲得許多好處，但是這可不是隨便的決策。為了確保成功，請思考與貴公司相關的所有問題，並要求你的外包商以書面的方式回覆。

　　你的組織中還是得有人負責確保外包商有好好在做事情。如果把白襯衫送去洗衣店，卻因為作業失誤變成了灰襯衫，隔天是誰得穿灰色的襯衫去上班？如果你的系統沒有正確地安裝更新或設定而被攻擊，損失的又是誰？

　　在將你的換洗衣物丟給外包商前，請先仔細地思考怎麼樣才是最適合貴單位的作法。

Diana Kelley是Burton Group的資深分析師。