漏洞管理(Vulnerability Management)是一個老生常談的概念，國內服務器，也是信息安全領域最為人熟知的概念。漏洞管理不等于漏洞掃描，漏洞掃描充其量只是過程中的一個步驟。大家經常會把漏洞管理和補丁管理(Patch Management)混為一談，兩者區別也在這里說下，補丁管理是指更新軟件、操作系統和應用的一個過程，補丁通常包括功能類、性能類和安全類補丁。把漏洞管理和補丁管理放在一起，基本有一定的銜接關系，在存在漏洞的時候，需要打補丁來進行修復。但是有時候的漏洞短時間內并沒有補丁，比如0Day，或者是放棄維護的軟件、系統以及應用，比如Windows XP。漏洞有時候就算發現了，也會因為業務問題而無法打補丁，要通過其他的方式降低影響，比如安全流量設備的虛擬補丁。

將企業的漏洞管理計劃與安全框架或標準進行對照，如 Center for Internet Security (CIS, 互聯網安全中心) Controls，將有助于揭示有差距以及潛在的改進領域。目前CIS Controls的版本是V7.1發布時間是2019年4月。CIS控制是一系列有優先級的縱深防御行為，可以降低大部分常見的攻擊方式。CIS控制一共分為三個大的部分，初級、基礎級、組織級。每個級別是遞進關系，每個級別里面表明了相應的安全手段。如下圖所示，這里看到持續的漏洞檢測是作為初級能力中的第三項出現，也是在安全能力要求比較低的情況下就需要做出的表現。

關于持續漏洞管理的細分要求

上圖中共展示了七個要求：3.1 運行自動化掃描工具主要講的是非認證式掃描，指外部通過網絡指紋方式的掃描;3.2 運行認證的掃描，主要指登錄到相應的設備進行掃描;3.3 設定專用賬號，這個是掃描的方式要求，這樣可以一方面方便掃描，另一方面可以降低誤報;3.4部署系統的自動化補丁管理工具，是針對于系統的漏洞進行修復;3.5部署軟件的自動化補丁管理工具，這是針對于軟件的漏洞進行修復;3.6 進行背靠背的漏洞掃描，是為了驗證漏洞是否補丁成功的驗證性掃描;3.7 采用風險評級流程，是一種按照風險來對漏洞進行評估的方式。以上七個要求只是說明了應該做到的方面，但并不代表漏洞管理流程，下一章將對漏洞管理流程進行解析。

漏洞管理流程

漏洞管理流程一般情況下分為四個步驟：漏洞識別、漏洞評估、漏洞處理、漏洞報告。

漏洞識別是我們通常意義下的漏洞掃描，也是漏洞管理的第一步。根據現有資產的情況，目前可分為筆記本、PC、服務器、數據庫、防火墻、交換機、路由器、打印機等。漏洞掃描進行全部資產的掃描發現已知的漏洞。后面會詳細介紹漏洞識別的相關原理。

漏洞評估是在漏洞識別的基礎上進行漏洞嚴重性的評估，這一步非常重要會影響到后面的處理步驟。比較常見的漏洞評估是使用CVSS評分法，根據CVSS的分數可以分為危急、高危、中危和低危。但是這種評估方法被業界詬病太多，需要結合其他的方式來進行評估。做法會更進一步結合資產的重要性來評估漏洞影響，更好的方式是結合風險和威脅評估。后文也會重點說明這種方式。

漏洞處理是在漏洞評估的基礎上進行相關的修復、降低影響或者不修復的操作。修復動作不是簡單的打補丁，是一個流程上的東西。修復過程通常包括以下幾個步驟：

1. 獲取廠商的補丁;

2. 分析補丁的依賴和系統的兼容性以及補丁的影響;

3. 建立回滾計劃，防止補丁對業務造成未知影響;

4. 在測試環境測試補丁修復情況;

5. 在部分生產環境測試補丁修復情況;

6. 進行灰度上線補丁計劃，乃至全量補丁修復;

7. 分析補丁修復后的系統穩定并監控;

8. 進行驗證補丁是否修復成功，漏洞是否依然存在。

對于很多無法直接根除漏洞進行補丁修復的情況，比如0Day，不在支持范圍的系統或者軟件，業務需求無法中斷，補丁速度滯后等情況。我們要采取降低漏洞影響的操作，如下圖所示：

通常關于漏洞減輕的措施三個大的方面：網絡、終端、應用和數據，細分可包括：

1. 隔離系統網絡，包括防火墻規則和網絡區域劃分;

2. 網絡訪問控制;

3. NIPS、WAF、SW、DAP、RASP等軟件或者設備簽名規則更新;

4. HIPS終端類安全產品進行阻斷;

5. EPP類安全產品類似白名單機制、系統加固等;

6. 阻斷有漏洞軟件的網絡連接;

7. 主機防火墻進行端口阻斷。