漏洞管理的流程有:1、检测漏洞;2、评估风险,查找异常值:3、确定补救措施的优先级;4、确认补救措施。具体每个流程的详细内容我们将在文章中展开。
大多数组织都有一个流程来管理其网络中的漏洞,但在修复这些漏洞方面仍然落后。Ponemon Institute 调查了北美、EMEA、APAC 和拉丁美洲的 1848 名 IT 和 IT 安全专业人员。在报告中,大多数受访者自我报告说,他们在优先处理和修补漏洞以及保护云中的应用程序方面的有效性很低。
这可能是由于各种原因或漏洞管理过程的实施不当。让我们看一下理想的漏洞过程可能是什么样子的。
1、检测漏洞
在互联网存在之前,系统中的缺陷或错误并不是一个大问题。但现在,当设备开始相互通信和互联网时,安全漏洞呈指数级增长。
保护您的系统或网络免受任何威胁的第一步是检查其包含的漏洞的数量和性质。这不是一次性的事情,而是一种持续的方法。您必须进行持续的漏洞扫描,以便在出现新漏洞时识别它们。当您必须为网络大规模执行此操作时,您可能希望使用漏洞扫描工具来使该过程更轻松且可行。
现在,您需要检查网络扫描的可行性。使用漏洞扫描程序时,某些网络扫描相对快速和容易,而有些可能会影响您的系统。由于处理能力的变化,必须确保不会永久影响系统或导致停机。建议使用漏洞管理工具来通知网络扫描的范围。还强烈建议在工作时间以外运行这些扫描,以防止任何停机时间。
现在,您已经获得了可用的漏洞扫描结果,接下来该怎么办?
2、评估风险
风险评估和风险管理是漏洞管理流程不可或缺的一部分,因为它可以帮助您确定存在的风险的优先级。您需要处理并减轻对系统或网络构成重大威胁的风险。
基于风险的漏洞管理正转向首先解决关键任务漏洞。但是,在有些组织中,专业人员倾向于以最小的风险或误报来补救那些人。误报是可能具有最小或零危害网络安全的可能性,但更容易缓解和报告的漏洞。这主要是因为安全研究人员受到激励的方式。安全研究人员根据他们已解决的漏洞数量获得报酬。
相反,适当的做法应该是补偿他们已经最小化的真正安全威胁。
现在,如果您开始此旅程,则已经运行了扫描并获得了报告。那里可能有成千上万的漏洞,您可能只是想知道从哪里开始。
查找异常值
识别具有更多漏洞的系统。从它开始。如果发现多个系统中存在相同的漏洞,则可能需要先修复该漏洞并进行报告。您甚至可能遇到不属于您的系统并且具有许多漏洞的应用程序。在这种情况下,请从网络中卸载该应用程序。
首先解决异常值通常是一种快速简便的方法,可以在您刚刚开始时产生重大影响。现在,当您知道从哪里开始时,请列出一个列表,就像下面我们将要做的一样。
为系统名称、漏洞名称、责任方、截止日期、解决日期和状态分配单独的列。最好使用自动漏洞管理程序,但如果您想维护一个正常的存储库,请使用Excel,Google表格或类似的电子表格工具。有了跟踪详细信息,当您在审计部门的朋友稍后拜访您时,您就可以展示出色的工作。
然后,若要根据风险评分确定已识别漏洞的优先级,可以使用 CVSS(常见漏洞评分系统)风险公式,并深入了解修复这些漏洞的内容和时间。CVSS 为衡量风险提供了标准化,并为其分配了介于 0 到 10 之间的风险评分,其中 10 表示关键。
这将帮助您降低可能对 IT 基础架构或您持有的信息的完整性造成严重损害的风险。
3、确定补救措施的优先级
评估并衡量与漏洞相关的风险评分后,请开始确定其优先级以进行补救。您的下一步应该是首先开始修复具有最高风险级别的问题,因为它们会极大地影响组织的安全性。
现在,有了完整的漏洞列表,没有人愿意手动登录和更新数百个系统。它效率低下,而且无法扩展。您可以使用自动更新机制(这是一种修补程序管理功能)在最基本的级别进行操作系统修补。您还可以使用配置管理针对环境子集测试补救措施,并查看它是否导致了任何问题。
它使您能够成组部署安全补丁,同时确保它们可能对环境造成的影响(自动重新启动或停机)。理想的平台将允许您为开箱即用的软件构建安装和更新软件包。此功能可确保您可以使所有应用程序保持修补和最新状态。
4、确认补救措施
扫描并修复漏洞后,您需要确保它们已经消失。由于您的安全团队在几个问题和相互竞争的优先级之间匆匆忙忙,修复检查可能会被推到次要位置,但您必须防止这种情况发生。
有些漏洞很复杂,不会在应用补丁时消失。某些漏洞可能看起来有一个明显的解决方案,例如在服务器上启用了默认网页。似乎显而易见的答案是禁用默认页面。但是,如果在不同的端口上有多个默认页面的实例,或者被各种Web服务器应用程序使用,那么明显的解决方案并不完全正确。
某些名人漏洞可能需要多个修补程序才能完全解决该漏洞。修复该问题的初始修补程序仅解决了部分漏洞,然后后续修补程序要求先卸载第一个修补程序,然后才能安装新修补程序。
最后,将安装许多补丁,但直到系统重新启动后它们才会生效。如果不重新启动,该漏洞仍然存在。由于所有这些因素,您必须执行另一次扫描以确认漏洞已完全解决。对于可快速跟踪以进行修复的高严重性漏洞,有必要运行专用扫描以查找可能的风险和威胁。
如果要跟踪漏洞并进行修正,则在扫描确认漏洞不再存在之前,不应将漏洞视为漏洞已解决。
延伸阅读:
谁负责漏洞管理
在组织中建立漏洞管理计划时,您将需要担任不同角色的专家。显然,漏洞管理的责任由组织中的不同人员共同承担。下面介绍了如何定义受托进行漏洞管理的人员的角色和职责:
保安人员:安全官拥有整个漏洞管理流程,并负责其设计和实施。
漏洞工程师:漏洞工程师负责设置漏洞扫描工具,配置它们,并安排不同的漏洞扫描。
资产所有者:资产所有者负责管理漏洞管理过程扫描的 IT 资产。他们检查漏洞是否得到缓解,以及是否接受与之相关的风险。
IT系统工程师:IT系统工程师负责实施在识别漏洞后建议的补救措施。
立即构建漏洞管理程序
一旦您真正了解了如何识别、评估、修正和确认漏洞,就可以开始构建组织的漏洞管理计划。
但当然,这不是一种一刀切的方法。您的漏洞管理程序可能会遇到组织挑战。因此,在构建可靠的流程之前,请先运行扫描并了解问题的大小。如果您有大量 IT 资产可能会带来数千个漏洞,请使用漏洞扫描程序。
检查您是否有必须首先满足的特定法规要求。根据角色和职责、服务级别协议、升级等,开始使用可供您使用的最佳工具构建您的漏洞管理计划。
想要保护您的组织完全免受外部威胁?了解渗透测试如何帮助您做到这一点,并构建一个不可破解的安全框架。