漏洞管理(Vulnerability Management)是一個(gè)老生常談的概念，國內(nèi)服務(wù)器，也是信息安全領(lǐng)域最為人熟知的概念。漏洞管理不等于漏洞掃描，漏洞掃描充其量只是過程中的一個(gè)步驟。大家經(jīng)常會(huì)把漏洞管理和補(bǔ)丁管理(Patch Management)混為一談，兩者區(qū)別也在這里說下，補(bǔ)丁管理是指更新軟件、操作系統(tǒng)和應(yīng)用的一個(gè)過程，補(bǔ)丁通常包括功能類、性能類和安全類補(bǔ)丁。把漏洞管理和補(bǔ)丁管理放在一起，基本有一定的銜接關(guān)系，在存在漏洞的時(shí)候，需要打補(bǔ)丁來進(jìn)行修復(fù)。但是有時(shí)候的漏洞短時(shí)間內(nèi)并沒有補(bǔ)丁，比如0Day，或者是放棄維護(hù)的軟件、系統(tǒng)以及應(yīng)用，比如Windows XP。漏洞有時(shí)候就算發(fā)現(xiàn)了，也會(huì)因?yàn)闃I(yè)務(wù)問題而無法打補(bǔ)丁，要通過其他的方式降低影響，比如安全流量設(shè)備的虛擬補(bǔ)丁。

將企業(yè)的漏洞管理計(jì)劃與安全框架或標(biāo)準(zhǔn)進(jìn)行對照，如 Center for Internet Security (CIS, 互聯(lián)網(wǎng)安全中心) Controls，將有助于揭示有差距以及潛在的改進(jìn)領(lǐng)域。目前CIS Controls的版本是V7.1發(fā)布時(shí)間是2019年4月。CIS控制是一系列有優(yōu)先級的縱深防御行為，可以降低大部分常見的攻擊方式。CIS控制一共分為三個(gè)大的部分，初級、基礎(chǔ)級、組織級。每個(gè)級別是遞進(jìn)關(guān)系，每個(gè)級別里面表明了相應(yīng)的安全手段。如下圖所示，這里看到持續(xù)的漏洞檢測是作為初級能力中的第三項(xiàng)出現(xiàn)，也是在安全能力要求比較低的情況下就需要做出的表現(xiàn)。

關(guān)于持續(xù)漏洞管理的細(xì)分要求

上圖中共展示了七個(gè)要求：3.1 運(yùn)行自動(dòng)化掃描工具主要講的是非認(rèn)證式掃描，指外部通過網(wǎng)絡(luò)指紋方式的掃描;3.2 運(yùn)行認(rèn)證的掃描，主要指登錄到相應(yīng)的設(shè)備進(jìn)行掃描;3.3 設(shè)定專用賬號，這個(gè)是掃描的方式要求，這樣可以一方面方便掃描，另一方面可以降低誤報(bào);3.4部署系統(tǒng)的自動(dòng)化補(bǔ)丁管理工具，是針對于系統(tǒng)的漏洞進(jìn)行修復(fù);3.5部署軟件的自動(dòng)化補(bǔ)丁管理工具，這是針對于軟件的漏洞進(jìn)行修復(fù);3.6 進(jìn)行背靠背的漏洞掃描，是為了驗(yàn)證漏洞是否補(bǔ)丁成功的驗(yàn)證性掃描;3.7 采用風(fēng)險(xiǎn)評級流程，是一種按照風(fēng)險(xiǎn)來對漏洞進(jìn)行評估的方式。以上七個(gè)要求只是說明了應(yīng)該做到的方面，但并不代表漏洞管理流程，下一章將對漏洞管理流程進(jìn)行解析。

漏洞管理流程

漏洞管理流程一般情況下分為四個(gè)步驟：漏洞識(shí)別、漏洞評估、漏洞處理、漏洞報(bào)告。

漏洞識(shí)別是我們通常意義下的漏洞掃描，也是漏洞管理的第一步。根據(jù)現(xiàn)有資產(chǎn)的情況，目前可分為筆記本、PC、服務(wù)器、數(shù)據(jù)庫、防火墻、交換機(jī)、路由器、打印機(jī)等。漏洞掃描進(jìn)行全部資產(chǎn)的掃描發(fā)現(xiàn)已知的漏洞。后面會(huì)詳細(xì)介紹漏洞識(shí)別的相關(guān)原理。

漏洞評估是在漏洞識(shí)別的基礎(chǔ)上進(jìn)行漏洞嚴(yán)重性的評估，這一步非常重要會(huì)影響到后面的處理步驟。比較常見的漏洞評估是使用CVSS評分法，根據(jù)CVSS的分?jǐn)?shù)可以分為危急、高危、中危和低危。但是這種評估方法被業(yè)界詬病太多，需要結(jié)合其他的方式來進(jìn)行評估。做法會(huì)更進(jìn)一步結(jié)合資產(chǎn)的重要性來評估漏洞影響，更好的方式是結(jié)合風(fēng)險(xiǎn)和威脅評估。后文也會(huì)重點(diǎn)說明這種方式。

漏洞處理是在漏洞評估的基礎(chǔ)上進(jìn)行相關(guān)的修復(fù)、降低影響或者不修復(fù)的操作。修復(fù)動(dòng)作不是簡單的打補(bǔ)丁，是一個(gè)流程上的東西。修復(fù)過程通常包括以下幾個(gè)步驟：

1. 獲取廠商的補(bǔ)丁;

2. 分析補(bǔ)丁的依賴和系統(tǒng)的兼容性以及補(bǔ)丁的影響;

3. 建立回滾計(jì)劃，防止補(bǔ)丁對業(yè)務(wù)造成未知影響;

4. 在測試環(huán)境測試補(bǔ)丁修復(fù)情況;

5. 在部分生產(chǎn)環(huán)境測試補(bǔ)丁修復(fù)情況;

6. 進(jìn)行灰度上線補(bǔ)丁計(jì)劃，乃至全量補(bǔ)丁修復(fù);

7. 分析補(bǔ)丁修復(fù)后的系統(tǒng)穩(wěn)定并監(jiān)控;

8. 進(jìn)行驗(yàn)證補(bǔ)丁是否修復(fù)成功，漏洞是否依然存在。

對于很多無法直接根除漏洞進(jìn)行補(bǔ)丁修復(fù)的情況，比如0Day，不在支持范圍的系統(tǒng)或者軟件，業(yè)務(wù)需求無法中斷，補(bǔ)丁速度滯后等情況。我們要采取降低漏洞影響的操作，如下圖所示：

通常關(guān)于漏洞減輕的措施三個(gè)大的方面：網(wǎng)絡(luò)、終端、應(yīng)用和數(shù)據(jù)，細(xì)分可包括：

1. 隔離系統(tǒng)網(wǎng)絡(luò)，包括防火墻規(guī)則和網(wǎng)絡(luò)區(qū)域劃分;

2. 網(wǎng)絡(luò)訪問控制;

3. NIPS、WAF、SW、DAP、RASP等軟件或者設(shè)備簽名規(guī)則更新;

4. HIPS終端類安全產(chǎn)品進(jìn)行阻斷;

5. EPP類安全產(chǎn)品類似白名單機(jī)制、系統(tǒng)加固等;

6. 阻斷有漏洞軟件的網(wǎng)絡(luò)連接;

7. 主機(jī)防火墻進(jìn)行端口阻斷。