正確評估漏洞對于通過漏洞管理計(jì)劃實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)至關(guān)重要。漏洞評估清單是一種實(shí)用的解決方案，可確保評估過程一致且徹底，并將遺漏重要漏洞的風(fēng)險(xiǎn)降至最低。

什么是漏洞評估？

漏洞評估是一個(gè)綜合過程，通過它可以突出系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)中的固有弱點(diǎn)和安全漏洞。漏洞評估工具包括Web漏洞掃描器、網(wǎng)絡(luò)掃描軟件、協(xié)議掃描器、評估軟件、手動滲透測試等。

脆弱性評估涉及：

• 掃描應(yīng)用程序及其各種組件
• 主動識別漏洞
• 評估成功利用每個(gè)漏洞的嚴(yán)重性和潛在影響

掃描之后進(jìn)行測試以模擬攻擊并了解攻擊者如何利用漏洞。根據(jù)調(diào)查結(jié)果，安全/IT/開發(fā)團(tuán)隊(duì)可以確定關(guān)鍵漏洞的優(yōu)先級并專注于修復(fù)它們。

15 關(guān)鍵點(diǎn)漏洞評估清單

評估前

1. 選擇正確的漏洞評估工具

為使評估全面且其見解對漏洞管理有用，您必須選擇正確的評估工具集。

• 在選擇正確的工具時(shí)，您必須從您獨(dú)特的業(yè)務(wù)和應(yīng)用程序/網(wǎng)站環(huán)境和需求開始。
• 根據(jù)這些獨(dú)特的需求和環(huán)境比較這些工具的功能，以及您的實(shí)時(shí)/準(zhǔn)實(shí)時(shí)應(yīng)用程序的演示/試用版評估結(jié)果。
• 選擇一種工具來檢測和評估基礎(chǔ)架構(gòu)中的各種漏洞，以確保全面覆蓋。
• 利用掃描自動化的力量，因?yàn)樗梢砸钥焖俚姆绞礁采w大面積的區(qū)域，并將錯(cuò)誤范圍降至最低。
• 結(jié)合人類智慧和專業(yè)知識的力量，進(jìn)行滲透測試、安全審計(jì)、設(shè)計(jì)修復(fù)等。
• 選擇一套智能、全面且受管理的工具，這些工具可以根據(jù)您不斷變化的需求進(jìn)行定制和持續(xù)調(diào)整，并且其報(bào)告是即時(shí)的，洞察力可付諸行動。
• 一些漏洞評估工具可能會產(chǎn)生誤報(bào)或漏報(bào)，這可能會產(chǎn)生誤導(dǎo)，而且補(bǔ)救起來很費(fèi)時(shí)。選擇高精度的工具可以幫助您更有效地確定漏洞的優(yōu)先級并修復(fù)漏洞。

2.定義要評估的資產(chǎn)

評估必須有計(jì)劃，不能是臨時(shí)的。識別并映射您的所有數(shù)字資產(chǎn)、系統(tǒng)、關(guān)聯(lián)和第三方系統(tǒng)、流程、IT 基礎(chǔ)設(shè)施、設(shè)備、應(yīng)用程序、服務(wù)器、數(shù)據(jù)庫、內(nèi)容管理系統(tǒng)、開發(fā)框架、端口等。并收集有關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的所有可能信息，以全面了解您企業(yè)的 IT 資產(chǎn)以及每項(xiàng)資產(chǎn)的重要性。必須識別所有連接到網(wǎng)絡(luò)并可能容易受到攻擊的資產(chǎn)。確定資產(chǎn)后，確定評估中包括哪些系統(tǒng)和應(yīng)用程序很重要。這可能包括攻擊者最有可能瞄準(zhǔn)的關(guān)鍵系統(tǒng)和應(yīng)用程序。

3. 確定脆弱性評估的范圍和目標(biāo)

為評估的每個(gè)組成部分整合一組正確定義的目標(biāo)、范圍和預(yù)期結(jié)果。制作威脅模型并確定掃描、測試等目標(biāo)區(qū)域，以確定應(yīng)用程序中的最大數(shù)量的關(guān)鍵漏洞。

4.確定要評估的漏洞類型

根據(jù)您組織的風(fēng)險(xiǎn)狀況和合規(guī)性要求確定將評估哪些漏洞很重要。確定將要評估的漏洞可以幫助您確定工作和資源的優(yōu)先順序，以解決最重大的安全風(fēng)險(xiǎn)。有多種常見的安全風(fēng)險(xiǎn)、攻擊類型和漏洞可能會損害您的系統(tǒng)。以下是一些最常見的示例：

• 惡意軟件
• 網(wǎng)絡(luò)釣魚
• 拒絕服務(wù) (DoS) 攻擊
• SQL注入
• 跨站點(diǎn)腳本 (XSS)
• 中間人 (MITM) 攻擊
• 未打補(bǔ)丁的軟件
• 弱密碼或不安全密碼
• 內(nèi)部威脅

5. 定義脆弱性評估方法

應(yīng)定義評估方法，以確保評估始終如一地根據(jù)最佳實(shí)踐進(jìn)行。該方法涉及一系列步驟，以全面分析您組織的安全狀況并識別攻擊者可能利用的潛在漏洞。

以下是漏洞評估方法中涉及的典型步驟：

• 確定關(guān)鍵和有吸引力的資產(chǎn)
• 進(jìn)行漏洞評估
• 漏洞分析和風(fēng)險(xiǎn)評估
• 整治
• 通過改進(jìn)重新評估系統(tǒng)
• 報(bào)告結(jié)果

6.確定要授予的訪問級別

授予評估團(tuán)隊(duì)的訪問級別應(yīng)根據(jù)被評估的系統(tǒng)和應(yīng)用程序來確定。例如，評估團(tuán)隊(duì)可能需要對某些系統(tǒng)進(jìn)行管理訪問才能進(jìn)行全面評估。

7. 確定任何合規(guī)要求

合規(guī)性要求可能會規(guī)定評估的范圍和目標(biāo)。例如，高度監(jiān)管行業(yè)的組織可能需要更頻繁地進(jìn)行評估或滿足特定標(biāo)準(zhǔn)，例如 PCI DSS 或 HIPAA。

8. 確定評估頻率

漏洞評估清單中的一個(gè)重要考慮因素。評估的頻率應(yīng)根據(jù)組織的風(fēng)險(xiǎn)概況和合規(guī)要求來確定。必須每天以及在任何重大業(yè)務(wù)/應(yīng)用程序/網(wǎng)絡(luò)更改后進(jìn)行漏洞掃描，而不會影響您的應(yīng)用程序或網(wǎng)絡(luò)的速度?；谠频娜妗⒆詣踊?、可定制和智能的解決方案可以很好地發(fā)現(xiàn)各種已知漏洞。手動滲透測試和安全審計(jì)中的漏洞測試必須每季度安排一次，以有效識別未知漏洞、業(yè)務(wù)邏輯缺陷、錯(cuò)誤配置以及自動掃描工具遺漏的其他弱點(diǎn)。

評估期間

9. 進(jìn)行漏洞掃描

漏洞掃描是評估過程的第一步。它涉及使用自動化工具來識別組織的 IT 基礎(chǔ)架構(gòu)和應(yīng)用程序中的漏洞。掃描將生成一份報(bào)告，其中概述發(fā)現(xiàn)的任何漏洞以及緩解或消除這些漏洞的建議。

定期進(jìn)行漏洞掃描很重要，因?yàn)楣粽邥粩喟l(fā)現(xiàn)和利用新漏洞。通過定期進(jìn)行漏洞掃描，您可以掌握任何潛在的安全風(fēng)險(xiǎn)，并在它們被利用之前采取措施緩解它們。

10. 進(jìn)行手動筆測試

雖然漏洞掃描工具可以識別組織系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)中的潛在漏洞，但它們無法準(zhǔn)確評估每個(gè)漏洞的嚴(yán)重性和潛在影響。手動滲透測試可以通過測試自動化工具可能遺漏的漏洞，幫助對組織的安全狀況進(jìn)行更全面的分析。

在漏洞評估過程中，您必須過濾掉誤報(bào)，因?yàn)檫@些會導(dǎo)致浪費(fèi)您寶貴的資源，包括時(shí)間和金錢。您還必須在評估過程中創(chuàng)建證據(jù)和概念證明。手動滲透測試還可以幫助您驗(yàn)證漏洞掃描結(jié)果的準(zhǔn)確性，方法是對識別出的漏洞進(jìn)行測試，以確定它們是否有效和可利用。

11.分析漏洞并確定優(yōu)先級

應(yīng)對漏洞掃描和手動測試的結(jié)果進(jìn)行分析，以確定每個(gè)漏洞的嚴(yán)重性和被利用的可能性。應(yīng)根據(jù)漏洞的嚴(yán)重性和利用的可能性對漏洞進(jìn)行優(yōu)先級排序。應(yīng)首先解決可能被利用的高嚴(yán)重性漏洞。

漏洞的嚴(yán)重程度通常由以下因素決定

• 如果攻擊者成功利用漏洞，他們將獲得的訪問級別或特權(quán)
• 易于利用
• 對組織資產(chǎn)或數(shù)據(jù)的潛在影響

例如，允許攻擊者獲得對關(guān)鍵系統(tǒng)的管理訪問權(quán)限的漏洞將被認(rèn)為比允許他們查看敏感信息的漏洞更嚴(yán)重。

剝削的可能性取決于以下因素

• 系統(tǒng)或應(yīng)用程序的受歡迎程度
• 利用漏洞所需的訪問級別
• 漏洞利用工具或技術(shù)的可用性

影響廣泛使用的應(yīng)用程序并且在公共域中具有可用漏洞利用的漏洞比影響不太流行的應(yīng)用程序并且需要高級技術(shù)技能才能利用的漏洞更有可能被利用。

評估后

12.報(bào)告調(diào)查結(jié)果

評估結(jié)果應(yīng)記錄在報(bào)告中并與主要利益相關(guān)者共享。該報(bào)告應(yīng)包括執(zhí)行摘要、已識別漏洞的詳細(xì)信息以及補(bǔ)救建議。

13.制定補(bǔ)救計(jì)劃

補(bǔ)救計(jì)劃應(yīng)解決評估期間發(fā)現(xiàn)的漏洞。該計(jì)劃應(yīng)包括補(bǔ)救時(shí)間表并確定解決漏洞所需的資源。

14. 實(shí)施補(bǔ)救

應(yīng)按整治計(jì)劃實(shí)施整治。這可能涉及應(yīng)用補(bǔ)丁、更新配置或?qū)嵤┬碌陌踩刂啤?/p>

15. 進(jìn)行后續(xù)評估

應(yīng)進(jìn)行后續(xù)評估以確保已修復(fù)漏洞并且未引入新的漏洞。