漏洞管理是每個(gè)全面、主動(dòng)和有效的 Web 應(yīng)用程序安全解決方案/程序的核心和中心。鑒于網(wǎng)絡(luò)犯罪的嚴(yán)重性、復(fù)雜性和規(guī)模不斷增加，漏洞管理是不容妥協(xié)的。臨時(shí)和準(zhǔn)備不充分的漏洞管理程序可能對(duì)您的應(yīng)用程序/網(wǎng)站有害。因此，我們匯集了一組最佳實(shí)踐來(lái)幫助您正確處理并保持領(lǐng)先地位。

什么是漏洞管理？

漏洞管理(VM) 是在 Web 應(yīng)用程序/網(wǎng)站中識(shí)別、報(bào)告、確定優(yōu)先級(jí)和補(bǔ)救安全風(fēng)險(xiǎn)（漏洞、差距、漏洞、錯(cuò)誤配置等）的持續(xù)一致的過(guò)程。此過(guò)程的主要目的是將風(fēng)險(xiǎn)概況降至最低并加強(qiáng)網(wǎng)站/網(wǎng)絡(luò)應(yīng)用程序的安全態(tài)勢(shì)。

8 個(gè)漏洞管理最佳實(shí)踐

未雨綢繆，建立KPI

與任何其他業(yè)務(wù)項(xiàng)目一樣，您必須從規(guī)劃和制定戰(zhàn)略開(kāi)始，然后建立關(guān)鍵績(jī)效指標(biāo) (KPI)。KPI 指導(dǎo)您的安全團(tuán)隊(duì)，使您能夠制定切實(shí)可行的工作目標(biāo)，此外還能讓您評(píng)估漏洞管理軟件/解決方案產(chǎn)生的投資回報(bào)率。一些好的 KPI 包括：

• 每個(gè)安全區(qū)域每個(gè)服務(wù)器的漏洞覆蓋率/全面性和漏洞
• 掃描頻率和強(qiáng)度（進(jìn)行不同掃描的時(shí)間和次數(shù)）
• VM覆蓋的許可資產(chǎn)比例
• 修補(bǔ)時(shí)長(zhǎng)
• 您的開(kāi)發(fā)人員修復(fù)漏洞的速度以及迄今為止未修復(fù)的高風(fēng)險(xiǎn)漏洞的存在時(shí)間

了解彈性攻擊面并為之做好準(zhǔn)備

當(dāng)今的應(yīng)用程序越來(lái)越無(wú)邊界、互連、復(fù)雜和動(dòng)態(tài)，具有多個(gè)移動(dòng)部件、第三方和開(kāi)源組件、多個(gè)層和復(fù)雜的集成。這意味著僅掃描和評(píng)估傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施毫無(wú)意義。您必須在 VM 中包含您的彈性攻擊面，為此您需要了解此攻擊面的不同組件。組件除了傳統(tǒng)的網(wǎng)絡(luò)資產(chǎn)外，主要包括Web應(yīng)用、云實(shí)例、容器、移動(dòng)設(shè)備、物聯(lián)網(wǎng)設(shè)備等。利用Indusface 漏洞管理等下一代智能解決方案，您可以無(wú)縫地全面了解彈性攻擊面及其多層。

構(gòu)建您的漏洞管理數(shù)據(jù)庫(kù)

在 VM 的發(fā)現(xiàn)階段，您通常會(huì)繪制并識(shí)別所有數(shù)字資產(chǎn)、系統(tǒng)、附屬和第三方系統(tǒng)和流程、IT 基礎(chǔ)設(shè)施、設(shè)備、應(yīng)用程序、服務(wù)器、數(shù)據(jù)庫(kù)、內(nèi)容管理系統(tǒng)、開(kāi)發(fā)框架、端口等。并收集有關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的所有可能信息，以全面了解您企業(yè)的 IT 資產(chǎn)以及每項(xiàng)資產(chǎn)的重要性。

僅僅建立一次數(shù)據(jù)庫(kù)并保持原樣是不夠的。您的 VM 數(shù)據(jù)庫(kù)和整個(gè)安全狀況僅與上次更新數(shù)據(jù)時(shí)一樣好。因此，您必須不斷刷新 VM 數(shù)據(jù)庫(kù)。

最新的威脅情報(bào)

它有助于確定漏洞的優(yōu)先級(jí)和先發(fā)制人的補(bǔ)丁，以防止基于全球威脅形勢(shì)的威脅。Indusface Vulnerability Management 配備了 Global Threat Intelligence，使組織能夠進(jìn)行智能和深度爬網(wǎng)和掃描，同時(shí)極大地降低風(fēng)險(xiǎn)。

利用自動(dòng)化

自動(dòng)化帶來(lái)的敏捷性對(duì)于增強(qiáng)漏洞管理流程至關(guān)重要。Indusface 提供的智能全面掃描解決方案可確保您獲得最佳覆蓋范圍，以發(fā)現(xiàn)風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降至最低。例如，Indusface漏洞掃描工具利用滲透測(cè)試、WAF 和全球威脅情報(bào)數(shù)據(jù)庫(kù)的洞察力，主動(dòng)并自動(dòng)將未爬網(wǎng)區(qū)域納入掃描和測(cè)試。

報(bào)告，報(bào)告，報(bào)告！

在 VM 過(guò)程的掃描和發(fā)現(xiàn)階段之后生成詳細(xì)報(bào)告是不可協(xié)商的。

優(yōu)先級(jí)決定一切：優(yōu)先級(jí)評(píng)級(jí)很有用

隨著威脅和漏洞的數(shù)量不斷增加，解決每一個(gè)漏洞幾乎是不可能的，因此，在 VM 過(guò)程中確定優(yōu)先級(jí)是必不可少的。必須利用威脅情報(bào)數(shù)據(jù)庫(kù)、掃描和發(fā)現(xiàn)報(bào)告等來(lái)創(chuàng)建優(yōu)先級(jí)矩陣和評(píng)級(jí)。可以進(jìn)一步分析這些矩陣和評(píng)級(jí)以進(jìn)入補(bǔ)救階段。請(qǐng)記住，通用/通用格式不能用于確定優(yōu)先級(jí)。優(yōu)先級(jí)評(píng)級(jí)和矩陣必須根據(jù)組織/應(yīng)用程序/網(wǎng)絡(luò)的上下文進(jìn)行定制。

與其他安全解決方案和流程集成

請(qǐng)記住，漏洞管理只是應(yīng)用程序和網(wǎng)絡(luò)安全的起點(diǎn)。因此，它需要成為綜合解決方案的一部分。