漏洞管理流程

如何自动化漏洞管理

A 漏洞管理系统 可以帮助自动化这个过程吗. 他们会使用漏洞扫描器，有时还会使用端点代理来盘点网络上的各种系统，并查找其中的漏洞.

一旦识别出漏洞, 它们带来的风险需要在不同的情况下进行评估，以便就如何最好地治疗它们做出决定. 例如, 漏洞验证可以是将漏洞的真实严重性置于上下文中的有效方法.

漏洞管理vs. 漏洞评估

一般来说，脆弱性评估是完整脆弱性管理程序的一部分. 组织可能会运行多个漏洞评估，以获得有关其漏洞管理行动计划的更多信息.

漏洞管理流程的4个步骤

1. 执行漏洞扫描
2. 评估漏洞风险
3. 优先考虑 & 解决漏洞
4. 持续漏洞管理

步骤1:执行漏洞扫描

典型漏洞管理工具的核心是漏洞扫描程序. 扫描包括四个阶段:

1. 通过ping或发送TCP/UDP数据包扫描网络可访问的系统
2. 识别在扫描系统上运行的开放端口和服务
3. 尽可能远程登录系统，收集详细的系统信息
4. 将系统信息与已知漏洞关联起来

漏洞扫描器能够识别网络上运行的各种系统, 比如笔记本电脑和台式电脑, 虚拟和物理服务器, 数据库, 防火墙, 开关, 打印机, etc. 探测已识别的系统的不同属性:操作系统, 开放端口, 安装的软件, 用户帐户, 文件系统结构, 系统配置, 和更多的.

然后使用此信息将已知漏洞与扫描的系统关联起来. 来执行这个关联, 漏洞扫描器将使用一个漏洞和利用数据库，其中包含一个公开已知的漏洞列表.

正确配置漏洞扫描是漏洞管理解决方案的重要组成部分. 漏洞扫描器有时会破坏它们扫描的网络和系统. 如果可用的网络带宽在组织的高峰时段变得非常有限, 然后，漏洞扫描应该安排在非工作时间运行.

如果网络上的某些系统在扫描时变得不稳定或行为不正常, 它们可能需要从漏洞扫描中排除, 或者，扫描可能需要微调，以减少干扰. 自适应扫描是一种基于网络变化进一步自动化和简化漏洞扫描的新方法.

例如, 当一个新系统第一次连接到网络时, 漏洞扫描器会尽快扫描该系统，而不是等到每周或每月扫描才开始扫描整个网络.

但是，漏洞扫描器不再是收集系统漏洞数据的唯一方法. 端点代理允许漏洞管理工具在不执行网络扫描的情况下从系统中持续收集漏洞数据.

这有助于组织维护最新的系统漏洞数据，无论是否如此, 例如, 员工的笔记本电脑连接到组织的网络或员工的家庭网络.

不管漏洞管理解决方案如何收集这些数据, 它可以用来创建报告, metrics, 以及针对不同受众的仪表板.

步骤2:评估漏洞风险

在识别漏洞之后, 需要对它们进行评估，以便适当地处理它们所构成的风险，并按照组织的标准进行处理 漏洞管理程序框架. 漏洞管理平台将为漏洞提供不同的风险评级和评分, 例如通用漏洞评分系统(CVSS)分数. 这些分数有助于告诉组织他们应该首先关注哪些漏洞, 但是，任何给定的漏洞所带来的真正风险取决于这些现成的风险评级和分数之外的一些其他因素.

脆弱性风险评估因素:

• 这个漏洞是真阳性还是假阳性?
• 有人会从互联网上直接利用这个漏洞吗?
• 利用这个漏洞有多困难?
• 是否有已知的、公开的针对此漏洞的利用代码?
• 如果这个漏洞被利用，对业务会有什么影响?
• 是否有任何其他安全控制措施可以减少此漏洞被利用的可能性和/或影响?
• 这个漏洞存在多久了/它在网络上存在多久了?

像任何安全工具一样，漏洞扫描器也不是完美的. 它们的漏洞检测误报率虽然低，但仍然大于零. 执行漏洞验证 渗透测试工具 技术可以帮助排除误报，这样组织就可以将注意力集中在处理真正的漏洞上.

漏洞验证练习或全面渗透测试的结果通常会让那些认为自己足够安全或漏洞不够安全的组织大开眼界 that risky.

3 .优先排序 & 解决漏洞

一旦漏洞被验证并被视为风险, 下一步是优先考虑如何与业务或网络的原始利益相关者一起处理该漏洞. 处理漏洞有不同的方法，包括:

• 修复:完全修复或修补漏洞，使其无法被利用. 这是组织所追求的理想治疗方案.
• 缓解: 减少漏洞被利用的可能性和/或影响. 当一个已识别的漏洞还没有适当的修复或补丁可用时，这有时是必要的. 理想情况下，应该使用此选项为组织最终修复漏洞争取时间.
• 验收: 不采取任何措施来修复或减少漏洞被利用的可能性/影响. 当一个漏洞被认为是低风险时，这通常是合理的, 并且修复漏洞的成本远远大于组织在漏洞被利用时所产生的成本.

漏洞管理解决方案 提供针对漏洞的推荐修复技术.  Occasionally a remediation recommendation isn’t the optimal way to remediate a vulnerability; in those cases, 正确的补救方法需要由组织的安全团队确定, 系统所有者, 系统管理员. 补救可以像应用一个现成的软件补丁一样简单，也可以像在组织的网络中替换一组物理服务器一样复杂.

当补救活动完成时, 最好运行另一个漏洞扫描，以确认该漏洞已被完全解决.

然而，并非所有的漏洞都需要修复. 例如, 如果组织的漏洞扫描器已在其计算机上识别出Adobe Flash Player中的漏洞, 但他们完全禁止在网页浏览器和其他客户端应用程序中使用Adobe Flash Player, 然后，可以认为这些漏洞可以通过补偿控制得到充分缓解.

步骤4:持续漏洞管理

执行定期和持续的漏洞评估使组织能够随着时间的推移了解其漏洞管理程序的速度和效率. 漏洞管理工具通常具有不同的选项，用于通过各种可定制的报告和仪表板导出和可视化漏洞扫描数据.

这不仅可以帮助IT团队轻松地了解哪些补救技术可以帮助他们以最少的努力修复最多的漏洞, 或者帮助安全团队监控网络不同部分的漏洞趋势, 但它也有助于支持组织 遵从性和法规要求.

在持续漏洞监控方面保持领先

威胁和攻击者在不断变化, 就像企业不断增加新的移动设备一样, 云服务, 网络, 以及应用程序对其环境的影响. 每一次变化都有可能在你的网络中打开一个新的漏洞, 让攻击者溜进去带走你的王冠.

每次你有了新的合作伙伴, 员工, 客户或顾客, 你为你的组织打开了新的机会, 但你也让它暴露了新的漏洞, 利用, 和威胁. 保护您的组织免受这些威胁需要一个能够跟上并适应所有这些变化的漏洞管理解决方案. 如果没有这些，攻击者总是会领先一步.

最新的补丁更新、漏洞和漏洞利用

• 查看报告的最新补丁 Rapid7专家在周二补丁博客上发表的文章
• 搜索 脆弱性 & 利用数据库 更新的风险 
• 漏洞管理最新的博客文章