什么是漏洞管理?

漏洞管理的作用是什么?

漏洞管理，也称为漏洞评估，涉及识别、评估、优先排序和解决计算机系统、网络、软件和其他IT环境中的安全漏洞。目标是降低网络罪犯利用这些漏洞的风险，并维护组织系统的安全性和完整性。企业使用漏洞管理工具来持续监控和修复漏洞，以主动防御安全风险。

网络安全中常见的漏洞类型有哪些?

网络安全漏洞是指IT系统中的安全漏洞，网络罪犯可以利用该漏洞进行攻击。漏洞利用有多种形式，如果组织和个人未能实施有效的风险缓解策略，网络攻击者可能以随意一种方式利用。英国国家网络安全中心(NCSC)确定了三种主要的漏洞类型：

缺陷：缺陷是意外功能的更改，通常是由于设计不佳或实施过程中犯的错误造成的。它们是最常见的漏洞类型，也是网络犯罪分子特别喜欢的漏洞。缺陷包括：

已知漏洞：这些漏洞是已识别、记录和发布的缺陷，通常具有与公共漏洞和暴露(CVE)数据库中相同的唯一标识符。他们通常已经发布了补丁或修复步骤，组织可以使用它们来降低风险。

零日漏洞：这些漏洞通常是供应商不知道的新漏洞，并且没有可用的补丁或修复程序。网络攻击者在供应商发现或修复漏洞之前就利用它们，使其难以防御。

产品功能：功能是攻击者可以滥用以破坏系统的有意功能。虽然它们在技术中发挥作用，但它们可能会被攻击者利用。比如JavaScript，它广泛用于动态 Web 内容中，攻击者使用它来将查询字符串输入到表单中，以访问、窃取或污染受保护的数据。

用户错误：这些漏洞通常是人为错误(例如启用易受攻击的功能或未能修复已知漏洞)或更简单的用户错误(例如使用弱的、易于猜测的密码、安装恶意软件或泄露可能对攻击者有用的信息)引起的。

实施成功的漏洞管理计划依赖于一个整体漏洞管理框架：

1. 资产发现

了解组织面临的威胁首先要有一个清晰的资产清单。组织需要系统地分类、评估和监控所有资产，包括硬件、软件、数据和网络组件。这种方法将有助于改善安全状况，并深入了解拥有的资产以及潜在漏洞可能所在的位置。

进行这些审计对于保持准确和最新的资产清单至关重要。这有助于识别未经授权的应用程序或未经官方批准使用的影子IT技术和系统。通过主动消除未经授权的元素，可以降低未受监控的漏洞的风险，这些漏洞可能会使组织面临网络威胁。

此外，定期评估IT环境有助于了解哪些组件需要保护，从而能够建立强大的安全措施和量身定制的补救措施，保护关键资产。

2. 扫描和报告

组织需要使用漏洞扫描程序对所有资产进行全面评估。这些扫描程序系统地分析网络、系统和Web应用程序，识别已知漏洞。这些工具使用CVE标识符生成详细报告，其中提供有关每个检测到的问题的具体信息，包括其性质和潜在影响。

这些报告通常使用通用漏洞评分系统(Common Vulnerability Scoring System， CVSS)为每个CVE分配严重性等级。CVSS得分范围从0到10，越高的分数表明越严重的漏洞。这些指标通过评估可利用性、潜在损害和潜在网络攻击的复杂性等因素来帮助确定漏洞的优先级。组织进行漏洞扫描应至少每季度执行一次，但对于动态环境，建议组织实施更频繁的扫描频率。

3. 分析和优先级排序

虽然CVSS评级提供了与漏洞相关的潜在风险的有价值的见解，但未涉及每个单独环境的唯一配置和特定情况。从本质上讲，这意味着在一种环境中风险较低的漏洞可能在另一种环境中构成重大威胁。

将渗透测试加入漏洞管理策略有助于解决以上问题。渗透测试或渗透测试通过主动利用已识别的漏洞来模拟真实世界的攻击，以提供进一步的上下文并展示缺陷的潜在影响。如果渗透测试人员可以利用漏洞来访问系统，那么网络攻击者也可以。

这些测试有助于确定漏洞的优先级，揭示了哪些是真正关键的，哪些是需要立即修复的。通过识别这些漏洞，可以更有效地分配资源，并将修复工作集中在最重要的地方。

4. 响应和重新测试

一旦确定了优先级，就可以开始修复关键漏洞。安全团队通常使用不同策略，包括应用软件补丁作为补丁管理过程的一部分，对操作系统和应用程序执行更新，或解决错误配置。简而言之，它们填补了攻击者可能利用的任何安全漏洞。

漏洞管理是一个持续的过程。组织需要执行额外的渗透测试，来验证补救工作的有效性，并执行连续的漏洞管理扫描，来确认漏洞是否被修复或者不再对组织构成重大威胁。

参读链接：

https://www.tripwire.com/state-of-security/what-is-vulnerability-management