首页 > 其他分享 >【安全服务系列】漏洞管理

【安全服务系列】漏洞管理

时间:2024-05-03 15:55:59浏览次数:23  
标签:系列 安全 补丁 扫描 漏洞 利用 攻击者 补救

一、漏洞基础

原则上,漏洞是指系统或网络中的一个脆弱点,其可能会被网络犯罪分子利用,以获得未经

授权的访问,从而造成破坏。漏洞利用之后会发生什么呢,谁也说不准——安装恶意软件、

窃取敏感数据、利用恶意代码造成损害等等。

以下是有关漏洞的几个官方定义:

1、NIST:系统、系统安全程序、内部控制或实施中存在的脆弱点,其可能会被威胁行为者利用或触发。

2、ISO 27005:资产中存在的、可被威胁行为者利用的脆弱点,其中资产是指对组织机构、其业务运营及其连续性有价值的任何东西,包括支持组织使命的信息资源。

3、IETF RFC 4949:系统设计、实施或操作和管理中存在的缺陷或脆弱点,其可能会被利用,违反系统的安全策略

二、漏洞的类型

漏洞有多种类型和形式。常见的漏洞类型包括以下几种。

硬件漏洞是指设备或系统中的缺陷或脆弱点,能够让攻击者远程或现场利用系统。常见的硬件漏洞包括设备未加密、未对存储设备加以保护、以及系统或设备版本老旧。

软件漏洞是指软件中的缺陷或瑕疵,攻击者可以基于此远程控制系统。这些缺陷有时与软件编码或设计有关。例如,某些软件漏洞是缺乏输入验证、跨网站脚本、数据未加密造成的等。

网络漏洞会导致软硬件问题暴露给恶意软件或配置欠妥当的防火墙。常见的网络漏洞包括错误配置的防火墙、社工攻击和无保护的网络通信。此外,一个简单的网络系统中存在着许多应用程序和操作系统,从而让攻击者通过利用其中的缺陷或漏洞进入整个网络。

如果组织机构的安全程序存在漏洞,也会让组织机构受到攻击。为了提高安全性,组织机构需要遵守标准的密码策略。组织机构需要适当地维护各种操作程序,以避免被利用。组织机构的网络安全系统需要按照最佳实践来以防止攻击者不定期的网络攻击。组织机构进行良好的培训和知识共享有助于避免恶意软件攻击,并减少漏洞利用。

操作系统漏洞是指应用软件或操作系统内的缺陷。这些漏洞是操作系统内的操作逻辑或代码中的错误,攻击者会利用这些漏洞来获得访问权限并造成破坏。恶意软件、网络入侵、缓冲区溢出和虚拟化是攻击者利用操作系统漏洞时的常用攻击向量。但尽管如此,也很难开发一个完全没有漏洞的软件

三、漏洞的管理

漏洞管理是用于识别、评估、管理整个组织机构的系统和软件漏洞并针对漏洞采取补救措施的系统性和战略性流程。漏洞管理会监测风险并保持组织机构的当前安全状态。

漏洞是网络犯罪分子可以使用或利用的薄弱环节或关键领域。随着漏洞数量的不断增加,确保网络安全迫在眉睫。漏洞管理是识别和评估 IT 系统风险的过程,旨在清除漏洞或采取措施进行补救。

 1、漏洞管理的主要目标是扫描、调查、分析和报告风险或安全漏洞的细节,并提供缓解方法 和策略。漏洞管理是解决和补救安全漏洞以避免网络攻击或漏洞利用的持续过程。


 2、漏洞管理有助于识别和消除薄弱环节,确保网络免受潜在攻击、编码错误或缺陷的影响。漏洞管理是确保网络安全的基本方法,有助于提高系统的安全性。

 3、漏洞扫描在漏洞管理过程中起着重要作用。漏洞扫描是检测、评估和评价系统和软件漏洞的过程。检测漏洞或脆弱点有助于避免攻击者造成进一步的损害。NIST 建议每季度进行一次漏洞扫描。对于依赖网络满足日常运营需求或拥有大规模敏感数据的组织,也建议每月或更多地进行漏洞扫描。

 4、网络安全和计算机安全是漏洞管理的基本组成部分。它控制着与信息有关的安全风险,并 专注于复杂的网络犯罪情况。通过对 IT 环境中所涉及的风险进行漏洞处理,可以确保持续了解漏洞情况。

 5、为实现有效的网络安全效果,可以采用各种扫描和检测工具。采用工具进行漏扫比人工安 全系统效果更好。虽然工具采购需要投资,但这在组织机构可负担的起的范围内。而且,与泄露敏感数据损失数十亿元相比,采用工具更划算。

1、漏洞产生阶段(Creation):漏洞尚未被发现或者利用, 因此, 该阶段安全漏洞无风险。

2、漏洞发现阶段(Discovery):当漏洞刚被发现时, 对漏洞的挖掘和利用处于探索阶段, 并且掌握漏洞信息的人员数量少, 因此, 该阶段漏洞风险较低。

3、漏洞公开阶段(Disclosure):由于漏洞处于公开但未提供补丁的状态,越来越多的潜在攻击者开始关注此安全漏洞。攻击方式也会发生改变, 例如攻击由简单的代码供给转变为自动攻击工具, 使低技能攻击者开始尝试漏洞利用, 随时间推移,漏洞风险持续升高。

4、漏洞评估阶段(Assess):随着攻击脚本的传播, 更多的攻击者掌握了漏洞的利用方法, 从整体上看, 漏洞风险不断增长,达到高峰期。

5、漏洞修复阶段(Patched):随着补丁释放, 安装用户增多, 安全风险不断降低。由于不同漏洞的复杂度差别较大,对于未能提供补丁的漏洞,相关组织机构也会采取一些手段切断黑客漏洞利用的攻击链路。

五、漏洞的管理流程

漏洞管理流程一般情况下分为五个步骤:识别、评估、排序、补救、以及报告。

1、识别

漏洞识别是我们通常所说的漏洞扫描,也是漏洞管理的第一步。根据现有资产情况,需要进行漏洞扫描的资产通常包括笔记本、PC、服务器、数据库、防火墙、交换机、路由器、打印机等。漏洞扫描需要对所有这些资产进行扫描,以发现已知漏洞。

漏洞识别一般是通过漏洞扫描器实现的,识别漏洞的形式无外乎有四种:非认证式扫描、认证式扫描、API 扫描、被动流量扫描,前两种是最普遍的方式。非认证方式扫描,也称为网络扫描方式(Network Scanning),基本原理就是发送 Request 包,根据Response 包的 banner 或者回复的报文来判断是否有漏洞,这种分析 Response 包内容的主要逻辑是版本比对或者根据 PoC 验证漏洞的一些详情来判断。

2、评估

漏洞评估是在漏洞识别的基础上进行漏洞严重性的评估,这一步非常重要会影响到后面的补救步骤。比较常见的漏洞评估是使用通用漏洞评分系统(CVSS)评分法。CVSS 是一个标准的漏洞管理解决方案,用于对漏洞进行风险评级和打分。根据 CVSS 的分数,可以将漏洞分为危急、高危、中危和低危。

3、排序

由于漏洞越来越多,组织机构很难,有时甚至不可能解决所有漏洞。根据风险系数或威胁对漏洞进行优先级排序,可以更好地补救漏洞。在漏扫报告中确定优先级指标和评级,以便在后续的补救阶段进行深入分析。

4、补救

这一步是针对发现的漏洞进行补救和处理。在这个过程中,正确的补救方法和具体的处理策

略是至关重要。漏洞补救不是简单的打补丁,而是一个系统化的流程。漏洞补救过程通常包括以下几个步骤:

1、获取厂商的补丁;

2、分析补丁的依赖和系统的兼容性以及补丁的影响;

3、建立回滚计划,防止补丁对业务造成未知影响;

4、在测试环境测试补丁修复情况;

5、在部分生产环境测试补丁修复情况;

6、进行灰度上线补丁计划,乃至全量补丁修复;

7、分析补丁修复后的系统稳定并监控;

8、进行验证补丁是否修复成功,漏洞是否依然存在

5、报告

这一步至关重要,会传达有关资产清点、安全漏洞和整体风险的关键发现。报告中还会介绍最相关的漏洞及其补救方法的详细信息。漏洞报告的重要组成部分包括执行摘要、评估概述和漏洞详情。

在网络安全领域的长期实战中,可以参考以下步骤来改善漏洞管理。

1、定期进行渗透测试

2、制定漏洞补丁时间计划表

3、进行细粒度的 IT 资产盘点

4、随时更新网络威胁情报

5、加强网络安全基础设施的管理

注:本文主要通过学习青藤云的漏洞管理的文档做的梳理总结。

原创:安全架构

标签:系列,安全,补丁,扫描,漏洞,利用,攻击者,补救
From: https://www.cnblogs.com/o-O-oO/p/18171290

相关文章

  • 【网络知识系列】一个详细完整的公司局域网搭建案例
    什么是局域网❓所谓局域网(LocalAreaNetwork,简称LAN),就是用于将有限范围内(例如一个实验室、一层办公楼或者校园)的各种计算机、终端与外部设备互联成网。那公司局域网怎么建立❓今天就先来了解下不同规模企业网络组建方式,以及公司局域网搭建,要怎么搞❓一、不同规模的企业,怎么......
  • 提高安全性,优雅实现拷贝与交换:C++中的Copy-and-Swap惯用法
     概述:拷贝并交换(Copy-and-Swap)是C++编程中的惯用法,用于实现赋值操作符和确保异常安全的拷贝构造函数。其核心思想是通过拷贝构造函数创建临时副本,再通过交换确保操作的异常安全性。这种方法在C++11之前和之后都适用,但在C++11中,移动语义和右值引用的引入使得实现可以更加高效。......
  • mORMot 1.18 第19章 安全性
    mORMot1.18第19章安全性第19章安全性在企业数据库设计中,安全性是必不可少的。mORMot已为此做好准备。19.1HTTP/HTTPS您可以在四个受支持的模式中的任何一个中进行选择,它们可以组合使用。Pascal类描述TSQLRestServerAuthenticationDefaultmORMot安全认证,作为一......
  • C#开发的网络速度计 - 开源研究系列文章 - 个人小作品
        上次发布了一个获取网络速度的例子(https://www.cnblogs.com/lzhdim/p/18167854),就是为了这次这个例子。用于在托盘里显示网络速度的图标,并且能够显示网络速度。下面就介绍一下这个小应用的源码。 1、项目目录;  2、源码介绍;1)获取网速; ......
  • 第二代酷睿Ultra K系列改名了!有点看不懂
    目前看来,高性能的ArrowLake、低功耗的LunarLake,都会隶属于酷睿Ultra200系列,其中后者以V结尾,比如已经知道酷睿Ultra5234V,前者则延续惯例,桌面版上有K、KF、F、T、无后缀标准版系列,笔记本上有H、U系列。ArrowLake的桌面版K系列之前流传的命名是酷睿Ultra9290K、酷睿Ultra7......
  • 美商海盗船推出RS MAX系列高性能风扇:30mm厚度、120/140mm规格可选
    美商海盗船推出新款RSMAX系列风扇。这是其首款30mm厚度的散热风扇,通过结合极其耐用的液晶聚合物材料(LCP)和更大的风扇叶片,辅以AirGuide技术,美商海盗船的工程师团队打造的零妥协、性能最好的风扇。相较于传统标准风扇,RSMAX系列风扇在厚度上增加了20%,但能够在更低的转速下产生相同......
  • 模拟集成电路设计系列博客——6.2.5 毛刺
    6.2.5毛刺数字逻辑的毛刺是转换器进行高速工作时的一个主要问题,\({b_1,b_2,...,b_N}\)与开关信号直接关联。毛刺的来源是开关切换不同信号的延迟。例如,但数字码从\(0111...1\)切换到\(1000...0\)时,所有的\(N-1\)的LSB都关闭,而MSB打开,然而,有可能LSB开关的电流先于MSB开关的电流关......
  • 模拟集成电路设计系列博客——6.2.2 基于R-2R的转换器
    6.2.2基于R-2R的转换器为了避免二进制权重转换器中的巨大电阻比例,可以通过引入串联电阻来使得阵列中的信号缩放,如下图所示:注意此处的节点电压\(V_A\)等于参考电压\(V_{ref}\)的四分之一,作为\(3R\)的串联电阻引入的结果。同时注意一个额外的\(4R\)被添加在地处,从而使得从\(3R\)......
  • 模拟集成电路设计系列博客——6.2.3 电荷重分布开关电容转换器
    6.2.3电荷重分布开关电容转换器电荷重分布开关电容转换器的基本思想是将开关电容增益放大器的输入电容替换为一个可编程电容阵列(PCA,ProgrammableCapacitorArray),如下图所示:如我们之前在开关电容增益放大器时讨论的一样,上图中的电路对于放大器输入失调电压,\(1/f\)噪声和有限放......
  • 模拟集成电路设计系列博客——6.2.1 二进制权重电阻转换器
    6.2.1二进制权重电阻转换器一种主流的实现D/A转换器的方式是将一组信号以二进制方式进行组合。这组二进制信号可以是电流(在电阻或者电流方式中),但二进制权重的电荷也经常使用。在这个章节中,将首先介绍店主方式,然后是和电荷重分布的模式和电流模式。在这个远离下并不能保证单调性,......