在網(wǎng)絡安全中，漏洞是一種弱點，網(wǎng)絡犯罪分子可以利用它來獲得對計算機系統(tǒng)的未經(jīng)授權的訪問。利用漏洞后，網(wǎng)絡攻擊可以運行惡意代碼、安裝惡意軟件甚至竊取敏感數(shù)據(jù)。漏洞可通過多種方法加以利用，包括SQL 注入、緩沖區(qū)溢出、跨站點腳本 (XSS)和用于查找Web 應用程序中已知漏洞和安全弱點的開源漏洞利用工具包。許多漏洞影響流行的軟件，使許多使用該軟件的客戶面臨數(shù)據(jù)泄露或供應鏈攻擊的高風險。這種零日漏洞被 MITRE 注冊為常見漏洞暴露(CVE)。

漏洞定義

脆弱性有很多定義。以下是來自各種網(wǎng)絡安全機構的定義列表。

美國國家標準與技術研究院 (NIST)：信息系統(tǒng)、系統(tǒng)安全程序、內(nèi)部控制或?qū)嵤┲锌赡鼙煌{源利用或觸發(fā)的弱點。

ISO 27005：可以被一個或多個網(wǎng)絡威脅利用的資產(chǎn)或資產(chǎn)組的弱點，其中資產(chǎn)是對組織、其業(yè)務運營及其連續(xù)性有價值的任何東西，包括支持組織使命的信息資源。

IETF RFC 4949：系統(tǒng)設計、實施或操作和管理中的缺陷或弱點，可被利用以違反系統(tǒng)的安全策略。

ENISA：存在的弱點、設計或?qū)嵤╁e誤，可能導致意外的、不良事件危及所涉及的計算機系統(tǒng)、網(wǎng)絡、應用程序或協(xié)議的安全性。

開放組：威脅能力超過抵抗威脅能力的概率。

信息風險因素分析：資產(chǎn)無法抵抗威脅代理行為的概率。

ISACA：設計、實施、運營或內(nèi)部控制方面的弱點

何時應該公開披露已知漏洞？

是否公開披露已知漏洞仍然是一個有爭議的問題。有兩種選擇：

立即全面披露

一些網(wǎng)絡安全專家主張立即披露，包括有關如何利用漏洞的具體信息。立即披露的支持者認為，它可以帶來安全的軟件和更快的修補程序，從而提高軟件安全、應用程序安全、計算機安全、操作系統(tǒng)安全和信息安全。

僅限于不披露

而其他人則反對披露漏洞，因為他們認為該漏洞將被利用。有限披露的支持者認為，將信息限制在特定群體可以降低被剝削的風險。像大多數(shù)論點一樣，雙方都有有效的論點。無論您站在哪一邊都知道，友好的攻擊者和網(wǎng)絡犯罪分子現(xiàn)在很常見定期搜索漏洞并測試已知漏洞。一些公司擁有內(nèi)部安全團隊，其工作是測試組織的 IT 安全和其他安全措施，作為其整體信息風險管理和網(wǎng)絡安全風險評估流程的一部分。

一流的公司提供漏洞賞金以鼓勵任何人發(fā)現(xiàn)漏洞并向他們報告漏洞，而不是利用它們。漏洞賞金計劃非常棒，可以幫助最大限度地降低您的組織加入我們最大數(shù)據(jù)泄露列表的風險。通常，漏洞賞金計劃的支付金額將與組織的規(guī)模、利用漏洞的難度和漏洞的影響相稱。例如，發(fā)現(xiàn)一家擁有漏洞賞金計劃的財富 500 強公司的個人身份信息 (PII)數(shù)據(jù)泄露將比您當?shù)亟纸巧痰甑臄?shù)據(jù)泄露更有價值。

脆弱性和風險之間有什么區(qū)別？

網(wǎng)絡安全風險通常被歸類為漏洞。但是，脆弱性和風險不是一回事，這可能會導致混淆。將風險視為漏洞被利用的概率和影響。如果漏洞被利用的影響和概率較低，則風險較低。相反，如果漏洞被利用的影響和概率很高，則風險很高。一般來說，網(wǎng)絡攻擊的影響可能與中央情報局的三元組或資源的機密性、完整性或可用性有關。按照這一系列推理，在某些情況下，常見漏洞不會構成風險。例如，當存在漏洞的信息系統(tǒng)對您的組織沒有價值時。

漏洞何時成為可利用的？

具有至少一個已知有效攻擊向量的漏洞被歸類為可利用漏洞。漏洞窗口是從漏洞被引入到修補的時間。如果您有強大的安全實踐，那么您的組織將無法利用許多漏洞。例如，如果您正確配置了S3 安全性，那么泄漏數(shù)據(jù)的可能性就會降低。檢查您的 S3 權限或其他人會。同樣，您可以通過第三方風險管理和供應商風險管理策略降低第三方風險和第四方風險。

什么是零日漏洞？

零日漏洞利用（或零日漏洞）利用零日漏洞。零日（或 0 日）漏洞是那些想要修補漏洞的人不知道或無法解決的漏洞。在漏洞被修補之前，攻擊者可以利用它對計算機程序、數(shù)據(jù)倉庫、計算機或網(wǎng)絡產(chǎn)生不利影響。“第 0 天”是相關方獲悉漏洞的那一天，從而導致補丁或解決方法以避免被利用。要了解的關鍵是，自第零天以來的天數(shù)越少，沒有開發(fā)補丁或緩解措施的可能性就越大，成功攻擊的風險就越高。

什么導致漏洞？

導致漏洞的原因有很多，包括：

復雜

復雜的系統(tǒng)會增加出現(xiàn)缺陷、配置錯誤或意外訪問的可能性。

熟悉度

通用代碼、軟件、操作系統(tǒng)和硬件增加了攻擊者找到或掌握已知漏洞信息的可能性。

連接性

設備連接得越多，漏洞的

密碼管理不善

弱密碼可以通過暴力破解，重復使用密碼可能導致一個數(shù)據(jù)泄露事件變得越來越多。

操作系統(tǒng)缺陷

像任何軟件一樣，操作系統(tǒng)也可能存在缺陷。默認情況下不安全且允許任何用戶訪問并可能注入病毒和惡意軟件的操作系統(tǒng)。

互聯(lián)網(wǎng)使用

互聯(lián)網(wǎng)上充斥著可以自動安裝在計算機上的間諜軟件和廣告軟件。

軟件錯誤

程序員可能會意外或故意在軟件中留下可利用的漏洞。有時最終用戶無法更新他們的軟件，導致他們沒有打補丁并且容易受到攻擊。

未經(jīng)檢查的用戶輸入

如果您的網(wǎng)站或軟件假定所有輸入都是安全的，它可能會執(zhí)行意外的 SQL 命令。

人們

任何組織中 社會工程是對大多數(shù)組織的最大威脅。

什么是漏洞管理？

漏洞管理是一種識別、分類、修復和緩解安全漏洞的周期性實踐。漏洞管理的基本要素包括漏洞檢測、漏洞評估和修復。

漏洞檢測方法包括：

• 漏洞掃描
• 滲透測試
• 谷歌黑客

一旦發(fā)現(xiàn)漏洞，它就會進入漏洞評估過程：

識別漏洞：分析網(wǎng)絡掃描、滲透測試結(jié)果、防火墻日志和漏洞掃描結(jié)果，以發(fā)現(xiàn)表明網(wǎng)絡攻擊可能利用漏洞的異常情況。

驗證漏洞：確定已識別的漏洞是否可以被利用，并對漏洞利用的嚴重性進行分類以了解風險級別

緩解漏洞：確定對策以及在補丁不可用的情況下如何衡量其有效性。

修復漏洞：盡可能更新受影響的軟件或硬件。

由于網(wǎng)絡攻擊在不斷發(fā)展，因此漏洞管理必須是一種持續(xù)且重復的做法，以確保您的組織受到保護。

什么是漏洞掃描？

漏洞掃描程序是旨在評估計算機、網(wǎng)絡或應用程序的已知漏洞的軟件。他們可以識別和檢測由于網(wǎng)絡中的錯誤配置和有缺陷的編程而引起的漏洞，并執(zhí)行經(jīng)過身份驗證和未經(jīng)身份驗證的掃描：

身份驗證掃描：允許漏洞掃描程序使用安全外殼 (SSH) 或遠程桌面協(xié)議 (RDP) 等遠程管理協(xié)議直接訪問網(wǎng)絡資產(chǎn)，并使用提供的系統(tǒng)憑據(jù)進行身份驗證。這可以訪問特定服務和配置詳細信息等低級數(shù)據(jù)，提供有關操作系統(tǒng)、已安裝軟件、配置問題和缺少安全補丁的詳細而準確的信息。

未經(jīng)身份驗證的掃描：結(jié)果是誤報和有關操作系統(tǒng)和已安裝軟件的不可靠信息。這種方法通常被網(wǎng)絡攻擊者和安全分析師用來嘗試確定面向外部的資產(chǎn)的安全態(tài)勢，并發(fā)現(xiàn)可能的數(shù)據(jù)泄露。

什么是滲透測試？

滲透測試，也稱為滲透測試或道德黑客攻擊，是一種測試信息技術資產(chǎn)以發(fā)現(xiàn)攻擊者可以利用的安全漏洞的做法。滲透測試可以通過軟件自動化或手動執(zhí)行。無論哪種方式，該過程都是收集有關目標的信息，識別可能的漏洞并嘗試利用它們并報告調(diào)查結(jié)果。滲透測試還可用于測試組織的安全策略、對合規(guī)性要求的遵守情況、員工的安全意識以及組織識別和響應安全事件的能力。

什么是谷歌黑客？

Google hacking 是使用搜索引擎（例如 Google 或 Microsoft 的 Bing）來定位安全漏洞。谷歌黑客攻擊是通過在查詢中使用高級搜索運算符來定位難以找到的信息或因云服務配置錯誤而意外暴露的信息而實現(xiàn)的。安全研究人員和攻擊者使用這些有針對性的查詢來定位不打算向公眾公開的敏感信息。

這些漏洞往往分為兩種類型：

• 軟件漏洞
• 錯誤配置

也就是說，絕大多數(shù)攻擊者會傾向于搜索他們已經(jīng)知道如何利用的常見用戶錯誤配置，并簡單地掃描具有已知安全漏洞的系統(tǒng)。為防止 Google 黑客攻擊，您必須確保正確配置所有云服務。一旦有東西暴露給谷歌，不管你喜不喜歡，它都是公開的。是的，Google 會定期清除其緩存，但在此之前，您的敏感文件會被公開。

什么是漏洞數(shù)據(jù)庫？

漏洞數(shù)據(jù)庫是收集、維護和共享有關已發(fā)現(xiàn)漏洞的信息的平臺。MITRE 運行最大的CVE 或常見漏洞和暴露之一，并分配一個通用漏洞評分系統(tǒng) (CVSS) 分數(shù)，以反映漏洞可能給您的組織帶來的潛在風險。CVE 的中央列表是許多漏洞掃描程序的基礎。

公共漏洞數(shù)據(jù)庫的好處是它允許組織開發(fā)、優(yōu)先排序和執(zhí)行補丁和其他緩解措施，以糾正關鍵漏洞。也就是說，它們還可能導致從匆忙發(fā)布的補丁中創(chuàng)建額外的漏洞，這些補丁修復了第一個漏洞但又創(chuàng)建了另一個漏洞。

漏洞數(shù)據(jù)庫中的常見漏洞列表包括：

初始部署失敗：數(shù)據(jù)庫的功能可能看起來不錯，但如果沒有嚴格的測試，漏洞可能會讓攻擊者滲透。糟糕的安全控制、弱密碼或默認安全設置可能導致敏感材料變得可公開訪問。

SQL 注入：數(shù)據(jù)庫攻擊通常記錄在漏洞數(shù)據(jù)庫中。

配置錯誤：公司經(jīng)常無法正確配置他們的云服務，使它們?nèi)菀资艿焦舨⑶医?jīng)常可以公開訪問。

審計不足：如果沒有審計，就很難知道數(shù)據(jù)是否已被修改或訪問。漏洞數(shù)據(jù)庫已經(jīng)公布了審計跟蹤作為網(wǎng)絡攻擊威懾的重要性。