共计 2076 个字符,预计需要花费 6 分钟才能阅读完成。
在之前的文章中,咱们别离探讨了破绽修复和 CVSS 评分零碎。而这两局部都是破绽治理中波及的要害因素。在明天的文章中,咱们将一起系统地理解破绽治理的概念及过程。
首先来看安全漏洞的概念。安全漏洞是指容许攻击者毁坏产品及其持有的信息的技术弱点。为了跟上增加到网络中的新零碎、对系统进行的更改以及随着工夫的推移发现新破绽,此过程须要继续执行。
而破绽治理是辨认、评估、解决和报告零碎及其上运行的软件中的安全漏洞的过程。这与其余安全策略一起施行,对于企业优先思考可能的威逼并最大限度地缩小其“攻击面”至关重要。
破绽治理流程
破绽治理过程能够分为以下四个步骤:
第 1 步:辨认破绽
典型破绽治理解决方案的外围是破绽扫描器。扫描包含四个阶段:
- 通过发送 TCP/UDP 数据包来扫描网络可拜访的零碎
- 辨认在扫描零碎上运行的凋谢端口和服务
- 近程登录零碎以收集具体的零碎信息
- 将零碎信息与已知破绽相关联
破绽扫描器可能辨认网络上运行的各种零碎,例如笔记本电脑和台式机、虚构和物理服务器、数据库、防火墙、交换机、打印机等。辨认的零碎会针对不同的属性进行探测:操作系统、凋谢端口、装置的软件、用户帐户、文件系统构造、系统配置等。而后应用此信息将已知破绽与扫描的零碎相关联。为了执行关联,破绽扫描程序将应用蕴含公开破绽列表的破绽数据库。
正确配置破绽扫描是破绽治理解决方案的重要组成部分。破绽扫描程序有时会影响它们扫描的网络和零碎。如果可用网络带宽在顶峰时段无限,则应将破绽扫描安顿在非工作工夫运行。如果网络上的某些零碎在扫描时变得不稳固,则须要将它们排除在破绽扫描之外,或者可能须要对扫描进行微调以缩小破坏性
不过,破绽扫描器不再是收集系统漏洞数据的惟一办法。端点代理容许破绽治理解决方案一直地从零碎收集破绽数据,无论员工的笔记本电脑是否连贯到企业的网络或员工的家庭网络,这有助于企业保护最新的系统漏洞数据。
第 2 步:评估破绽
确定破绽后,须要对其进行评估,以便依据企业的危险管理策略适当地解决相干危险。破绽治理解决方案将为破绽提供不同的危险等级和评分,例如通用破绽评分零碎 (CVSS) 评分。评分信息可能给企业在决定优先关注哪些破绽是提供参考信息,当然评估破绽真正带来的危险时还该当思考危险评级和分数之外的一些因素。
以下是评估破绽时要思考的其余因素:
- 这个破绽是否真是存在(true/false positive)?
- 攻击者是否可能近程利用此破绽吗?
- 利用这个破绽的复杂性有多高?
- 是否有针对此破绽的已知、已公布的利用代码?
- 如果这个破绽被利用,会对业务产生什么影响?
- 是否有任何其余安全控制措施能够升高此破绽被利用的可能性和 / 或影响?
- 破绽存在多长时间 / 在网络上存在多长时间?
与任何平安工具一样,破绽扫描并没有方法做到 100% 精确。因而倡议企业应用浸透测试工具和相干技术来帮忙验证破绽并打消误报,这样企业能够将更多的工夫与精力用在解决对企业零碎或业务影响较大的破绽上。
第 3 步:解决破绽
一旦破绽被验证并被定义为危险,下一步就是优先思考如何解决该破绽。有不同的办法来解决破绽,包含:
- 修复:齐全修复或修补破绽,使其无奈被利用。这是企业致力谋求的现实抉择。
- 缓解:升高破绽被利用的可能性和 / 或影响。在还没有对已辨认破绽提供适当的修复或补丁时,缓解破绽危险十分必要,这一步将为企业争取最终修复破绽的工夫。
- 承受:不采取任何口头来修复或以其余形式缩小破绽被利用的可能性 / 影响。当破绽被确定为低危险时,这么做是 OK 的,因为修复破绽的老本远大于破绽被利用所产生的老本。
破绽治理解决方案提供举荐的破绽修复技术。但须要留神的是,有时修复倡议并不是修复破绽的最佳形式。在此类情况下,正确的修复形式是由企业的平安团队和系统管理员等来确定修复和执行计划。修复能够像利用现成的软件补丁一样简略,但有时候也能像更换企业网络中物理服务器一样简单。修复实现后,最好再次运行破绽扫描以确认破绽已齐全解决。
然而并不是所有的破绽都须要修复。比方,如果一个企业的破绽扫描程序在其计算机上辨认出 Adobe Flash Player 中的破绽,但他们齐全禁止在 Web 浏览器和其余客户端应用程序中应用 Adobe Flash Player,则能够认为这些破绽危险已通过弥补管制失去充沛缓解。
第 4 步:报告破绽
定期且继续执行破绽评估可能让企业随着时间推移,更加理解其破绽治理打算的速度和效率。破绽治理解决方案通常有数个选项,用于在导出可视化扫描数据时提供多种自定义报表或仪表盘。这不仅能够帮忙 IT 团队轻松理解哪些补救技术能够帮忙他们以起码的工作量修复最多的破绽,还能帮忙平安团队随着工夫的推移监控其网络不同局部的破绽趋势,此外,还可能反对企业的合规性和监管要求。
随着企业一直向其环境中增加新的挪动设施、云服务、网络和应用程序,与新的第三方进行单干,有新的客户或员工退出,都有可能将企业至于新的威逼之下。威逼和攻击者行为随着企业的变动不断更新,每一次更改都会给企业带来危险。
爱护企业免受这些威逼,须要制订并继续更新欠缺破绽治理解决方案,以适应一直变动的环境,通过破绽治理永远当先于攻击者一步。