SOFTWARE SUPPLY CHAIN SECURITY
专注构建世界级软件供应链安全解决方案
漏洞管理流程
发布于: 2022-09-19 11:31:31 浏览量: 363

在之前的文章中,我们分别讨论了漏洞修复和 CVSS 评分系统。而这两部分都是漏洞管理中涉及的关键要素。在今天的文章中,我们将一起系统地了解漏洞管理的概念及过程。


首先来看安全漏洞的概念。安全漏洞是指允许攻击者破坏产品及其持有的信息的技术弱点。为了跟上添加到网络中的新系统、对系统进行的更改以及随着时间的推移发现新漏洞,此过程需要持续执行。


而漏洞管理是识别、评估、处理和报告系统及其上运行的软件中的安全漏洞的过程。这与其他安全策略一起实施,对于企业优先考虑可能的威胁并最大限度地减少其“攻击面”至关重要。

 

漏洞管理流程


漏洞管理过程可以分为以下四个步骤:


第 1 步:识别漏洞

- 典型漏洞管理解决方案的核心是漏洞扫描器。扫描包括四个阶段:

- 通过发送 TCP/UDP 数据包来扫描网络可访问的系统

- 识别在扫描系统上运行的开放端口和服务

- 远程登录系统以收集详细的系统信息

- 将系统信息与已知漏洞相关联


漏洞扫描器能够识别网络上运行的各种系统,例如笔记本电脑和台式机、虚拟和物理服务器、数据库、防火墙、交换机、打印机等。识别的系统会针对不同的属性进行探测:操作系统、开放端口、安装的软件、用户帐户、文件系统结构、系统配置等。然后使用此信息将已知漏洞与扫描的系统相关联。为了执行关联,漏洞扫描程序将使用包含公开漏洞列表的漏洞数据库。


正确配置漏洞扫描是漏洞管理解决方案的重要组成部分。漏洞扫描程序有时会影响它们扫描的网络和系统。如果可用网络带宽在高峰时段有限,则应将漏洞扫描安排在非工作时间运行。如果网络上的某些系统在扫描时变得不稳定,则需要将它们排除在漏洞扫描之外,或者可能需要对扫描进行微调以减少破坏性


不过,漏洞扫描器不再是收集系统漏洞数据的唯一方法。端点代理允许漏洞管理解决方案不断地从系统收集漏洞数据,无论员工的笔记本电脑是否连接到企业的网络或员工的家庭网络,这有助于企业维护最新的系统漏洞数据。

 

第 2 步:评估漏洞

确定漏洞后,需要对其进行评估,以便根据企业的风险管理策略适当地处理相关风险。漏洞管理解决方案将为漏洞提供不同的风险等级和评分,例如通用漏洞评分系统 (CVSS) 评分。评分信息能够给企业在决定优先关注哪些漏洞是提供参考信息,当然评估漏洞真正带来的风险时还应当考虑风险评级和分数之外的一些因素。


以下是评估漏洞时要考虑的其他因素:

- 这个漏洞是否真是存在(true/false positive)?

- 攻击者是否可能远程利用此漏洞吗?

- 利用这个漏洞的复杂性有多高?

- 是否有针对此漏洞的已知、已发布的利用代码?

- 如果这个漏洞被利用,会对业务产生什么影响?

- 是否有任何其他安全控制措施可以降低此漏洞被利用的可能性和/或影响?

- 漏洞存在多长时间/在网络上存在多长时间?


与任何安全工具一样,漏洞扫描并没有办法做到100%准确。因此建议企业使用渗透测试工具和相关技术来帮助验证漏洞并消除误报,这样企业可以将更多的时间与精力用在处理对企业系统或业务影响较大的漏洞上。


第 3 步:处理漏洞

一旦漏洞被验证并被定义为风险,下一步就是优先考虑如何处理该漏洞。有不同的方法来处理漏洞,包括:

修复:完全修复或修补漏洞,使其无法被利用。这是企业努力追求的理想选择。

缓解:降低漏洞被利用的可能性和/或影响。在还没有对已识别漏洞提供适当的修复或补丁时,缓解漏洞风险十分必要,这一步将为企业争取最终修复漏洞的时间。

接受:不采取任何行动来修复或以其他方式减少漏洞被利用的可能性/影响。当漏洞被确定为低风险时,这么做是OK的,因为修复漏洞的成本远大于漏洞被利用所产生的成本。


漏洞管理解决方案提供推荐的漏洞修复技术。但需要注意的是,有时修复建议并不是修复漏洞的最佳方式。在此类情况下,正确的修复方式是由企业的安全团队和系统管理员等来确定修复和执行方案。修复可以像应用现成的软件补丁一样简单,但有时候也能像更换企业网络中物理服务器一样复杂。修复完成后,最好再次运行漏洞扫描以确认漏洞已完全解决。


但是并不是所有的漏洞都需要修复。比如,如果一个企业的漏洞扫描程序在其计算机上识别出 Adobe Flash Player 中的漏洞,但他们完全禁止在 Web 浏览器和其他客户端应用程序中使用 Adobe Flash Player,则可以认为这些漏洞风险已通过补偿控制得到充分缓解。

 

第 4 步:报告漏洞

定期且持续执行漏洞评估能够让企业随着时间推移,更加了解其漏洞管理计划的速度和效率。漏洞管理解决方案通常有数个选项,用于在导出可视化扫描数据时提供多种自定义报表或仪表盘。这不仅可以帮助 IT 团队轻松了解哪些补救技术可以帮助他们以最少的工作量修复最多的漏洞,还能帮助安全团队随着时间的推移监控其网络不同部分的漏洞趋势,此外,还能够支持企业的合规性和监管要求。


随着企业不断向其环境中添加新的移动设备、云服务、网络和应用程序,与新的第三方进行合作,有新的客户或员工加入,都有可能将企业至于新的威胁之下。威胁和攻击者行为随着企业的变化不断更新,每一次更改都会给企业带来风险。


保护企业免受这些威胁,需要制定并持续更新完善漏洞管理解决方案,以适应不断变化的环境,通过漏洞管理永远领先于攻击者一步