信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全419”，作者/荏珺。

漏洞評(píng)估是企業(yè)漏洞管理生命周期中最重要的部分之一，指對(duì)信息系統(tǒng)中安全漏洞的系統(tǒng)審查，主要評(píng)估系統(tǒng)是否容易受到任何已知漏洞的影響，并對(duì)漏洞的優(yōu)先級(jí)進(jìn)行排序。漏洞評(píng)估的流程包括掃描企業(yè)網(wǎng)絡(luò)環(huán)境和資產(chǎn)狀況，并根據(jù)風(fēng)險(xiǎn)對(duì)新發(fā)現(xiàn)的漏洞進(jìn)行分析和評(píng)分；完成漏洞評(píng)估后，網(wǎng)絡(luò)安全或漏洞專家將根據(jù)需求進(jìn)一步完善安全策略，搭建企業(yè)安全防線。

但是，漏洞評(píng)估的成功與否取決于在組織的網(wǎng)絡(luò)、系統(tǒng)、渠道和接觸點(diǎn)中如何執(zhí)行該計(jì)劃。本文將通過(guò)“七步法”幫助企業(yè)快速確定漏洞評(píng)估過(guò)程、如何實(shí)施以及判斷企業(yè)是否需要評(píng)估漏洞。

步驟1：

確定參數(shù)并計(jì)劃評(píng)估

在開(kāi)始漏洞評(píng)估之前，需要首先確定評(píng)估范圍以及需要參與評(píng)估的網(wǎng)絡(luò)組件，例如硬件、用戶設(shè)備、應(yīng)用程序和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)等。對(duì)企業(yè)系統(tǒng)的初步評(píng)估階段，需要識(shí)別資產(chǎn)并確定每個(gè)設(shè)備的安全功能、風(fēng)險(xiǎn)度、用戶權(quán)限、配置和其他因素的基線。

之后，企業(yè)需要確定誰(shuí)將參與評(píng)估過(guò)程、將使用哪些工具、評(píng)估和修正的時(shí)間線以及評(píng)估頻率。如果企業(yè)尚未使用第三方工具來(lái)掃描和分析漏洞，那么研究相應(yīng)市場(chǎng)并確定是否擁有成功評(píng)估所需的任何資源就成了企業(yè)的首要任務(wù)。

步驟2：

掃描網(wǎng)絡(luò)漏洞

在這一階段，企業(yè)需要通過(guò)手動(dòng)或自動(dòng)化漏洞掃描查找安全漏洞。除了實(shí)際掃描之外，企業(yè)還可以使用威脅情報(bào)或漏洞數(shù)據(jù)庫(kù)來(lái)識(shí)別安全漏洞和弱點(diǎn)并過(guò)濾漏洞噪音。

步驟3：

分析結(jié)果

通過(guò)網(wǎng)絡(luò)漏洞掃描后產(chǎn)生的數(shù)據(jù)大部分是非結(jié)構(gòu)化的，企業(yè)在分析數(shù)據(jù)時(shí)，首先需要考慮漏洞的嚴(yán)重程度及其被利用的可能性，還要考慮如果攻擊針對(duì)該漏洞，將影響哪些網(wǎng)絡(luò)資源。同時(shí)，要與業(yè)務(wù)或利益干系人就修復(fù)特定漏洞的步驟進(jìn)行溝通。另外，最好超越傳統(tǒng)漏洞掃描流程，在理想情況下，企業(yè)還需查看防火墻日志、滲透測(cè)試和網(wǎng)絡(luò)掃描的數(shù)據(jù)。

步驟4：

確定漏洞的優(yōu)先級(jí)

企業(yè)首先需要識(shí)別和解決漏洞掃描中的高危漏洞，這種級(jí)別的漏洞極易導(dǎo)致計(jì)算機(jī)數(shù)據(jù)、應(yīng)用程序、網(wǎng)絡(luò)或設(shè)備受到未經(jīng)授權(quán)訪問(wèn)的事件。利用漏洞優(yōu)先級(jí)技術(shù)解決方案實(shí)施基于風(fēng)險(xiǎn)的漏洞管理方法，將漏洞結(jié)果帶到統(tǒng)一平臺(tái)以進(jìn)行優(yōu)先級(jí)排序和處理（例如修補(bǔ)），提高安全運(yùn)營(yíng)效率，此步驟是使漏洞評(píng)估數(shù)據(jù)可衡量和可操作的重要舉措。

步驟5：

創(chuàng)建漏洞評(píng)估報(bào)告

在企業(yè)完成漏洞評(píng)估掃描、分析和風(fēng)險(xiǎn)優(yōu)先級(jí)劃分步驟后，需要編寫報(bào)告，記錄分析結(jié)果。報(bào)告內(nèi)容應(yīng)該囊括所有漏洞的詳細(xì)介紹及嚴(yán)重性、網(wǎng)絡(luò)中的潛在攻擊媒介和可能的解決方案。

報(bào)告的部分內(nèi)容可以使用針對(duì)修復(fù)和緩解漏洞的網(wǎng)絡(luò)安全或漏洞專家的技術(shù)術(shù)語(yǔ)和說(shuō)明，但仍需要可視化圖表和相應(yīng)解釋，以幫助技術(shù)程度較低的業(yè)務(wù)領(lǐng)導(dǎo)者（如首席執(zhí)行官）了解正在完成的工作及其原因。

步驟6：

及時(shí)修正和緩解漏洞

企業(yè)在識(shí)別網(wǎng)絡(luò)上或網(wǎng)絡(luò)中的安全漏洞并確定其優(yōu)先級(jí)后，是時(shí)候采取行動(dòng)了。企業(yè)可以使用實(shí)際補(bǔ)丁修復(fù)一些最關(guān)鍵性漏洞，并采取一定措施緩解其他漏洞。

步驟7：

定期重復(fù)漏洞評(píng)估

隨著技術(shù)的持續(xù)升級(jí)，新出現(xiàn)的應(yīng)用程序、用戶、權(quán)限、數(shù)據(jù)集及其他功能都可能改變企業(yè)的現(xiàn)有網(wǎng)絡(luò)格局。因此，企業(yè)有必要循環(huán)往復(fù)漏洞評(píng)估過(guò)程，以免遺漏了存在重大風(fēng)險(xiǎn)的漏洞。

如何使用漏洞評(píng)估工具？

漏洞評(píng)估工具可以實(shí)現(xiàn)自動(dòng)化甚至接管漏洞評(píng)估過(guò)程中的某些步驟，從而節(jié)省人力成本和資源。一些最常見(jiàn)的漏洞評(píng)估工具包括資產(chǎn)發(fā)現(xiàn)工具、漏洞掃描程序、漏洞評(píng)估和報(bào)告、漏洞管理工具和風(fēng)險(xiǎn)優(yōu)先級(jí)工具。這些措施都側(cè)重于漏洞評(píng)估過(guò)程中的不同步驟，對(duì)希望實(shí)現(xiàn)自動(dòng)化漏洞評(píng)估和管理工作流的團(tuán)隊(duì)來(lái)說(shuō)有良好效果。但在投資漏洞評(píng)估工具之前，首先需要了解其工作原理，通過(guò)以下提示和最佳實(shí)踐將更有效地使用漏洞評(píng)估工具：

1

查看現(xiàn)有的網(wǎng)絡(luò)安全套件：大部分漏洞評(píng)估工具都是漏洞管理或網(wǎng)絡(luò)安全套件的一部分。如果企業(yè)目前已經(jīng)在與MSSP或其他安全供應(yīng)商合作，可以詢問(wèn)供應(yīng)商是否能夠提供任何適合企業(yè)需求的漏洞評(píng)估工具。

2

為企業(yè)網(wǎng)絡(luò)選擇適當(dāng)?shù)墓ぞ吒袷剑耗承┞┒丛u(píng)估工具可能不適用于特定網(wǎng)絡(luò)格式。例如，某些設(shè)備無(wú)法在云上運(yùn)行，需要更換為虛擬設(shè)備。

3

在適當(dāng)?shù)那闆r下使用多個(gè)漏洞掃描工具：將多個(gè)漏洞掃描和管理工具相結(jié)合可能會(huì)更適用于企業(yè)。例如，許多企業(yè)選擇同時(shí)使用付費(fèi)的第三方掃描程序和開(kāi)源掃描程序來(lái)綜合比較，以更好地明確黑客可能使用的攻擊媒介。

4

集成漏洞評(píng)估工具與解決方案堆棧：如果企業(yè)進(jìn)行漏洞評(píng)估投資，可以將其與企業(yè)已使用的DevOps、ITSM或票證工具等集成到相互關(guān)聯(lián)的、統(tǒng)一和協(xié)調(diào)的系統(tǒng)之中，提高效率。

每類企業(yè)都應(yīng)該進(jìn)行漏洞評(píng)估嗎？

是的。無(wú)論其網(wǎng)絡(luò)的規(guī)模和復(fù)雜性如何，惡意行為者隨時(shí)可能利用任何類型的網(wǎng)絡(luò)開(kāi)展攻擊，因此，所有企業(yè)都應(yīng)進(jìn)行漏洞評(píng)估，定期評(píng)估和鞏固網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中最薄弱的部分。此外，漏洞評(píng)估還可以推動(dòng)企業(yè)的合規(guī)性發(fā)展。如果是資源和預(yù)算都較為缺失的小型企業(yè)，可以選擇費(fèi)用較低，甚至免費(fèi)的漏洞掃描程序或其他工具來(lái)簡(jiǎn)化過(guò)程，防止單個(gè)重大違規(guī)行為。

漏洞評(píng)估可幫助網(wǎng)絡(luò)安全專業(yè)人員盡早識(shí)別安全漏洞的類型、數(shù)量、位置和嚴(yán)重性，無(wú)論企業(yè)的網(wǎng)絡(luò)規(guī)模如何，都應(yīng)定期對(duì)內(nèi)部團(tuán)隊(duì)系統(tǒng)和客戶系統(tǒng)進(jìn)行全面的漏洞評(píng)估，以便更好地保護(hù)敏感數(shù)據(jù)、應(yīng)用程序和其他業(yè)務(wù)資產(chǎn)。

但網(wǎng)絡(luò)安全建設(shè)從來(lái)都不是一件容易的事情，其涉及多個(gè)專業(yè)領(lǐng)域，需要企業(yè)安全人員對(duì)企業(yè)業(yè)務(wù)和安全形勢(shì)具有深刻認(rèn)識(shí)。面對(duì)網(wǎng)絡(luò)空間中存在的安全隱患，大肆堆砌各種安全工具已不是抵抗危機(jī)的最首選，甚至?xí)档徒ㄔO(shè)效率。針對(duì)以上問(wèn)題，網(wǎng)絡(luò)安全廠商有何良策協(xié)助企業(yè)提高漏洞管理水平、防范網(wǎng)絡(luò)安全重大風(fēng)險(xiǎn)？

目前，我國(guó)漏洞評(píng)估市場(chǎng)仍處于發(fā)展階段，其作為軟件安全開(kāi)發(fā)過(guò)程、企業(yè)攻擊面管理以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)，市場(chǎng)需求也在逐年增長(zhǎng)，目前市面上的主流產(chǎn)品形態(tài)多為囊括漏洞掃描、應(yīng)急響應(yīng)、風(fēng)險(xiǎn)評(píng)估服務(wù)的綜合性平臺(tái)。

墨菲安全“貫眾-漏洞情報(bào)預(yù)警”

據(jù)此前采訪了解到（詳情：墨菲安全章華鵬：與開(kāi)發(fā)流程深度耦合探索軟件供應(yīng)鏈安全治理新解法），墨菲安全的安全實(shí)驗(yàn)室可深入分析漏洞成因和真實(shí)影響，包括漏洞在什么條件下會(huì)觸發(fā)，以及用戶真實(shí)的代碼邏輯中是否包含了這樣的風(fēng)險(xiǎn)場(chǎng)景，最終去判斷漏洞是否真的存在殺傷力；此外，還會(huì)進(jìn)一步評(píng)估漏洞本身的影響范圍，修復(fù)工期成本，讓用戶直觀地看到漏洞的真實(shí)影響。

據(jù)介紹，其“貫眾-漏洞情報(bào)預(yù)警”系統(tǒng)，覆蓋超6w+主流組件，擁有專業(yè)漏洞知識(shí)庫(kù)，可實(shí)現(xiàn)提前3-7天的獨(dú)家0day預(yù)警，并結(jié)合軟件成分分析快速盤點(diǎn)影響，情報(bào)有效性經(jīng)專家評(píng)判，可幫助企業(yè)快速響應(yīng)排查，提高排查效率。

安恒信息“漏洞管理平臺(tái)”

據(jù)了解，安恒信息的漏洞管理平臺(tái)面向工業(yè)控制系統(tǒng)、數(shù)據(jù)庫(kù)、Web應(yīng)用多個(gè)領(lǐng)域，集漏洞收集、生命周期管理、威脅統(tǒng)計(jì)評(píng)測(cè)為一體，實(shí)現(xiàn)漏洞根據(jù)域名自動(dòng)匹配對(duì)應(yīng)的企業(yè)架構(gòu)，同時(shí)為企業(yè)全面系統(tǒng)地呈現(xiàn)威脅類型分布與風(fēng)險(xiǎn)架構(gòu)分布。漏洞管理系統(tǒng)外接了企業(yè)SRC平臺(tái)，擁有SRC首頁(yè)、白帽注冊(cè)、漏洞提交排行榜、公告等一系列配套功能，另外支持VPN流量審計(jì)、數(shù)據(jù)統(tǒng)計(jì)可視化、工單派發(fā)等功能，為廣大安全企業(yè)或機(jī)構(gòu)安全部門提供了一套可靈活配置、高效實(shí)用的漏洞管理系統(tǒng)。

此外，企業(yè)的安全運(yùn)維人員還能在日常的滲透測(cè)試、攻防演習(xí)過(guò)程中分析哪些漏洞是安全設(shè)備無(wú)法防御的，同時(shí)利用系統(tǒng)存儲(chǔ)的明文測(cè)試流量可深入了解攻擊機(jī)制與方式，進(jìn)一步完善防御規(guī)則和策略，使防御能力逐漸提高至與攻擊能力一樣的水平，有效迅速提升企業(yè)自身的信息安全攻防能力。

啟明星辰“天鏡漏洞管理平臺(tái)”

針對(duì)用戶缺乏一套完整的漏洞管理機(jī)制和平臺(tái)、未能落實(shí)定期評(píng)估與漏洞修補(bǔ)工作等問(wèn)題，啟明星辰推出了“天鏡漏洞管理平臺(tái)”。據(jù)了解，該平臺(tái)可通過(guò)實(shí)時(shí)采集最新漏洞信息、內(nèi)網(wǎng)主機(jī)掃描結(jié)果、基線掃描結(jié)果、人工滲透測(cè)試結(jié)果等漏洞信息，對(duì)網(wǎng)內(nèi)資產(chǎn)漏洞信息進(jìn)行統(tǒng)一關(guān)聯(lián)、展現(xiàn)和告警，使得管理人員可以有效地跟蹤資源漏洞生命周期，清楚地掌握全網(wǎng)的安全健康狀況，實(shí)現(xiàn)漏洞全生命周期的可視、可控和可管。

天鏡漏洞管理平臺(tái)適合大、中型的信息系統(tǒng)，除了能夠減少人力資源投入外，還能夠?qū)φ麄€(gè)網(wǎng)絡(luò)的脆弱性管理實(shí)施統(tǒng)一掃描策略和有效監(jiān)管，降低了上下級(jí)間的溝通成本，提高了脆弱性掃描與管理工作的效率。

參考資料

https://www.esecurityplanet.com/networks/vulnerability-assessment-process/