在网络设备上查找补丁级别

网络工程 安全
2022-02-21 04:35:31

我们的管理层希望每周两次了解我们的哪些网络设备(例如 Cisco ASA 防火墙、路由器)缺少漏洞补丁。他们还希望在需要时在会议前 30 分钟的短时间内收到报告。

我知道网络团队成员可以去每个网络设备,登录设备,打开命令行界面,获取运行的软件版本,看看是否是思科发布的最新版本,但这是手册过程,我们有很多思科设备,所以这样做会占用网络团队的大量时间。我们有大约 400 台网络设备(交换机、路由器、接入点、控制器、ASA 防火墙),其中大部分是 Cisco 和一些 Palo Alto 设备。

我们有 Solarwinds 模块 NCM、NPM、SEM、SAM、VNQM、NTA、工程师工具集,版本为 2019.4

  1. 是否有一种使用 Solarwinds 模块的快速方法,我们必须确定我们的网络设备、ASA 防火墙、聚合服务路由器、VPN 集中器、Firepower 威胁防御等的补丁级别,以查看哪个设备易受 CVE 编号所示的哪些漏洞的影响像 CVE 2020-3452?如果是这样,怎么做?我们的网络团队人手不足,因此没有时间弄清楚如何使用我们拥有的 Solarwinds 模块来做到这一点。如果他们获得有关如何执行此操作的分步说明,他们可以为我们进行配置。这是为了确保像 CVE 2020-3452 这样的漏洞在一周或更短的时间内得到修补,如果需要超过一周的时间,管理层会意识到,这样他们就可以为网络团队分配更多资源、更改项目优先级等。

  2. 我们能否使用我们拥有的 Solarwinds 模块设置自动报告,以便我们知道我们的 ASA 防火墙易受昨天发布的 CVE XYZ 的攻击?如果是这样,怎么做?我们的网络团队人手不足,因此没有时间弄清楚如何使用我们拥有的 Solarwinds 模块来做到这一点。如果他们获得有关如何执行此操作的分步说明,他们可以为我们配置这些报告。这是为了确保我们正在解决最新的漏洞,并且可以知道设备修补的速度。

  3. 我们如何确保我们知道使用我们拥有的 Solarwinds 模块为 Cisco、Palo alto 发布的最新漏洞?我们不希望审核员责备我们没有在合理的时间范围内进行修补,但不要让网络团队负担过重,除了偶尔发布的补丁外,他们的日常项目工作不堪重负。

1个回答

是否有一种使用 Solarwinds 模块的快速方法,我们必须确定我们的网络设备、ASA 防火墙、聚合服务路由器、VPN 集中器、Firepower 威胁防御等的补丁级别,以查看哪个设备易受 CVE 编号所示的哪些漏洞的影响像 CVE 2020-3452?如果是这样,怎么做?

是和不是。您可以轻松地创建一份报告(甚至可能有一个内置报告)来列出您设备的软件版本。但是您必须手动将版本与安全建议进行比较,以查看特定的 CVE 是否会影响它们。每个制造商的做法都不一样。

我们能否使用我们拥有的 Solarwinds 模块设置自动报告,以便我们知道我们的 ASA 防火墙易受昨天发布的 CVE XYZ 的攻击?

如果您定期(例如每月)运行版本报告,您应该能够快速确定这一点。

我们的网络团队人手不足,因此没有时间弄清楚如何使用我们拥有的 Solarwinds 模块来做到这一点。

如果您的网络团队认为这不重要,恐怕我们无法帮助您。这是技术无法解决的管理问题。如果您的组织想要遵守法规,您将不得不花时间。坦率地说,在你花时间研究和写这个问题的时候,你可能已经想通了。

我们不希望审计员责备我们没有在合理的时间范围内进行修补。

您在这里遗漏了一个重要步骤:您需要分析每个漏洞以查看它是否适用于您以及您的严重等级是什么(与制造商不同)。这需要时间,因为您需要在网络环境中分析漏洞。并非每个 CVE 都同样重要。

这里有两个例子来解释我的意思:

  1. 最近有一个漏洞影响了 Cisco 路由器。该漏洞是攻击者可以中断路由器的启动过程并注入恶意代码。此漏洞被评为“高”。尽管该漏洞被思科评为高,但在我们的网络中,我们将其评为“低”。为什么?因为我们有其他控制可以减轻它。您需要对路由器进行物理访问才能利用它。我们的路由器位于访问受限的数据中心,因此我们判断这不是“高”风险。

  2. 另一个漏洞影响了 IKEv2 IPsec 隧道。这也被评为高。但是我们没有任何 IKEv2 隧道,所以这个漏洞不会影响我们。

我的观点是,您需要分析漏洞,这样您就不会争先恐后地试图减轻每一个漏洞,就好像这是生死攸关的问题。有些很重要,但很多不重要。

其它你可能感兴趣的问题
上一篇交换机上的每 VLAN DHCP 池 下一篇Cisco ASA 5506-X:客户端定期失去 Internet 访问权限