在網絡安全中，漏洞是一種弱點，網絡犯罪分子可以利用它來獲得對計算機系統的未經授權的訪問。利用漏洞后，網絡攻擊可以運行惡意代碼、安裝惡意軟件甚至竊取敏感數據。漏洞可通過多種方法加以利用，包括SQL 注入、緩沖區溢出、跨站點腳本 (XSS)和用于查找Web 應用程序中已知漏洞和安全弱點的開源漏洞利用工具包。許多漏洞影響流行的軟件，使許多使用該軟件的客戶面臨數據泄露或供應鏈攻擊的高風險。這種零日漏洞被 MITRE 注冊為常見漏洞暴露(CVE)。

漏洞定義

脆弱性有很多定義。以下是來自各種網絡安全機構的定義列表。

美國國家標準與技術研究院 (NIST)：信息系統、系統安全程序、內部控制或實施中可能被威脅源利用或觸發的弱點。

ISO 27005：可以被一個或多個網絡威脅利用的資產或資產組的弱點，其中資產是對組織、其業務運營及其連續性有價值的任何東西，包括支持組織使命的信息資源。

IETF RFC 4949：系統設計、實施或操作和管理中的缺陷或弱點，可被利用以違反系統的安全策略。

ENISA：存在的弱點、設計或實施錯誤，可能導致意外的、不良事件危及所涉及的計算機系統、網絡、應用程序或協議的安全性。

開放組：威脅能力超過抵抗威脅能力的概率。

信息風險因素分析：資產無法抵抗威脅代理行為的概率。

ISACA：設計、實施、運營或內部控制方面的弱點

何時應該公開披露已知漏洞？

是否公開披露已知漏洞仍然是一個有爭議的問題。有兩種選擇：

立即全面披露

一些網絡安全專家主張立即披露，包括有關如何利用漏洞的具體信息。立即披露的支持者認為，它可以帶來安全的軟件和更快的修補程序，從而提高軟件安全、應用程序安全、計算機安全、操作系統安全和信息安全。

僅限于不披露

而其他人則反對披露漏洞，因為他們認為該漏洞將被利用。有限披露的支持者認為，將信息限制在特定群體可以降低被剝削的風險。像大多數論點一樣，雙方都有有效的論點。無論您站在哪一邊都知道，友好的攻擊者和網絡犯罪分子現在很常見定期搜索漏洞并測試已知漏洞。一些公司擁有內部安全團隊，其工作是測試組織的 IT 安全和其他安全措施，作為其整體信息風險管理和網絡安全風險評估流程的一部分。

一流的公司提供漏洞賞金以鼓勵任何人發現漏洞并向他們報告漏洞，而不是利用它們。漏洞賞金計劃非常棒，可以幫助最大限度地降低您的組織加入我們最大數據泄露列表的風險。通常，漏洞賞金計劃的支付金額將與組織的規模、利用漏洞的難度和漏洞的影響相稱。例如，發現一家擁有漏洞賞金計劃的財富 500 強公司的個人身份信息 (PII)數據泄露將比您當地街角商店的數據泄露更有價值。

脆弱性和風險之間有什么區別？

網絡安全風險通常被歸類為漏洞。但是，脆弱性和風險不是一回事，這可能會導致混淆。將風險視為漏洞被利用的概率和影響。如果漏洞被利用的影響和概率較低，則風險較低。相反，如果漏洞被利用的影響和概率很高，則風險很高。一般來說，網絡攻擊的影響可能與中央情報局的三元組或資源的機密性、完整性或可用性有關。按照這一系列推理，在某些情況下，常見漏洞不會構成風險。例如，當存在漏洞的信息系統對您的組織沒有價值時。

漏洞何時成為可利用的？

具有至少一個已知有效攻擊向量的漏洞被歸類為可利用漏洞。漏洞窗口是從漏洞被引入到修補的時間。如果您有強大的安全實踐，那么您的組織將無法利用許多漏洞。例如，如果您正確配置了S3 安全性，那么泄漏數據的可能性就會降低。檢查您的 S3 權限或其他人會。同樣，您可以通過第三方風險管理和供應商風險管理策略降低第三方風險和第四方風險。

什么是零日漏洞？

零日漏洞利用（或零日漏洞）利用零日漏洞。零日（或 0 日）漏洞是那些想要修補漏洞的人不知道或無法解決的漏洞。在漏洞被修補之前，攻擊者可以利用它對計算機程序、數據倉庫、計算機或網絡產生不利影響。“第 0 天”是相關方獲悉漏洞的那一天，從而導致補丁或解決方法以避免被利用。要了解的關鍵是，自第零天以來的天數越少，沒有開發補丁或緩解措施的可能性就越大，成功攻擊的風險就越高。

什么導致漏洞？

導致漏洞的原因有很多，包括：

復雜

復雜的系統會增加出現缺陷、配置錯誤或意外訪問的可能性。

熟悉度

通用代碼、軟件、操作系統和硬件增加了攻擊者找到或掌握已知漏洞信息的可能性。

連接性

設備連接得越多，漏洞的

密碼管理不善

弱密碼可以通過暴力破解，重復使用密碼可能導致一個數據泄露事件變得越來越多。

操作系統缺陷

像任何軟件一樣，操作系統也可能存在缺陷。默認情況下不安全且允許任何用戶訪問并可能注入病毒和惡意軟件的操作系統。

互聯網使用

互聯網上充斥著可以自動安裝在計算機上的間諜軟件和廣告軟件。

軟件錯誤

程序員可能會意外或故意在軟件中留下可利用的漏洞。有時最終用戶無法更新他們的軟件，導致他們沒有打補丁并且容易受到攻擊。

未經檢查的用戶輸入

如果您的網站或軟件假定所有輸入都是安全的，它可能會執行意外的 SQL 命令。

人們

任何組織中 社會工程是對大多數組織的最大威脅。

什么是漏洞管理？

漏洞管理是一種識別、分類、修復和緩解安全漏洞的周期性實踐。漏洞管理的基本要素包括漏洞檢測、漏洞評估和修復。

漏洞檢測方法包括：

• 漏洞掃描
• 滲透測試
• 谷歌黑客

一旦發現漏洞，它就會進入漏洞評估過程：

識別漏洞：分析網絡掃描、滲透測試結果、防火墻日志和漏洞掃描結果，以發現表明網絡攻擊可能利用漏洞的異常情況。

驗證漏洞：確定已識別的漏洞是否可以被利用，并對漏洞利用的嚴重性進行分類以了解風險級別

緩解漏洞：確定對策以及在補丁不可用的情況下如何衡量其有效性。

修復漏洞：盡可能更新受影響的軟件或硬件。

由于網絡攻擊在不斷發展，因此漏洞管理必須是一種持續且重復的做法，以確保您的組織受到保護。

什么是漏洞掃描？

漏洞掃描程序是旨在評估計算機、網絡或應用程序的已知漏洞的軟件。他們可以識別和檢測由于網絡中的錯誤配置和有缺陷的編程而引起的漏洞，并執行經過身份驗證和未經身份驗證的掃描：

身份驗證掃描：允許漏洞掃描程序使用安全外殼 (SSH) 或遠程桌面協議 (RDP) 等遠程管理協議直接訪問網絡資產，并使用提供的系統憑據進行身份驗證。這可以訪問特定服務和配置詳細信息等低級數據，提供有關操作系統、已安裝軟件、配置問題和缺少安全補丁的詳細而準確的信息。

未經身份驗證的掃描：結果是誤報和有關操作系統和已安裝軟件的不可靠信息。這種方法通常被網絡攻擊者和安全分析師用來嘗試確定面向外部的資產的安全態勢，并發現可能的數據泄露。

什么是滲透測試？

滲透測試，也稱為滲透測試或道德黑客攻擊，是一種測試信息技術資產以發現攻擊者可以利用的安全漏洞的做法。滲透測試可以通過軟件自動化或手動執行。無論哪種方式，該過程都是收集有關目標的信息，識別可能的漏洞并嘗試利用它們并報告調查結果。滲透測試還可用于測試組織的安全策略、對合規性要求的遵守情況、員工的安全意識以及組織識別和響應安全事件的能力。

什么是谷歌黑客？

Google hacking 是使用搜索引擎（例如 Google 或 Microsoft 的 Bing）來定位安全漏洞。谷歌黑客攻擊是通過在查詢中使用高級搜索運算符來定位難以找到的信息或因云服務配置錯誤而意外暴露的信息而實現的。安全研究人員和攻擊者使用這些有針對性的查詢來定位不打算向公眾公開的敏感信息。

這些漏洞往往分為兩種類型：

• 軟件漏洞
• 錯誤配置

也就是說，絕大多數攻擊者會傾向于搜索他們已經知道如何利用的常見用戶錯誤配置，并簡單地掃描具有已知安全漏洞的系統。為防止 Google 黑客攻擊，您必須確保正確配置所有云服務。一旦有東西暴露給谷歌，不管你喜不喜歡，它都是公開的。是的，Google 會定期清除其緩存，但在此之前，您的敏感文件會被公開。

什么是漏洞數據庫？

漏洞數據庫是收集、維護和共享有關已發現漏洞的信息的平臺。MITRE 運行最大的CVE 或常見漏洞和暴露之一，并分配一個通用漏洞評分系統 (CVSS) 分數，以反映漏洞可能給您的組織帶來的潛在風險。CVE 的中央列表是許多漏洞掃描程序的基礎。

公共漏洞數據庫的好處是它允許組織開發、優先排序和執行補丁和其他緩解措施，以糾正關鍵漏洞。也就是說，它們還可能導致從匆忙發布的補丁中創建額外的漏洞，這些補丁修復了第一個漏洞但又創建了另一個漏洞。

漏洞數據庫中的常見漏洞列表包括：

初始部署失敗：數據庫的功能可能看起來不錯，但如果沒有嚴格的測試，漏洞可能會讓攻擊者滲透。糟糕的安全控制、弱密碼或默認安全設置可能導致敏感材料變得可公開訪問。

SQL 注入：數據庫攻擊通常記錄在漏洞數據庫中。

配置錯誤：公司經常無法正確配置他們的云服務，使它們容易受到攻擊并且經常可以公開訪問。

審計不足：如果沒有審計，就很難知道數據是否已被修改或訪問。漏洞數據庫已經公布了審計跟蹤作為網絡攻擊威懾的重要性。