本文来自微信公众号“安全419”,作者/荏珺。
漏洞评估是企业漏洞管理生命周期中最重要的部分之一,指对信息系统中安全漏洞的系统审查,主要评估系统是否容易受到任何已知漏洞的影响,并对漏洞的优先级进行排序。漏洞评估的流程包括扫描企业网络环境和资产状况,并根据风险对新发现的漏洞进行分析和评分;完成漏洞评估后,网络安全或漏洞专家将根据需求进一步完善安全策略,搭建企业安全防线。
但是,漏洞评估的成功与否取决于在组织的网络、系统、渠道和接触点中如何执行该计划。本文将通过“七步法”帮助企业快速确定漏洞评估过程、如何实施以及判断企业是否需要评估漏洞。
步骤1:
确定参数并计划评估
在开始漏洞评估之前,需要首先确定评估范围以及需要参与评估的网络组件,例如硬件、用户设备、应用程序和网络基础结构等。对企业系统的初步评估阶段,需要识别资产并确定每个设备的安全功能、风险度、用户权限、配置和其他因素的基线。
之后,企业需要确定谁将参与评估过程、将使用哪些工具、评估和修正的时间线以及评估频率。如果企业尚未使用第三方工具来扫描和分析漏洞,那么研究相应市场并确定是否拥有成功评估所需的任何资源就成了企业的首要任务。
步骤2:
扫描网络漏洞
在这一阶段,企业需要通过手动或自动化漏洞扫描查找安全漏洞。除了实际扫描之外,企业还可以使用威胁情报或漏洞数据库来识别安全漏洞和弱点并过滤漏洞噪音。
步骤3:
分析结果
通过网络漏洞扫描后产生的数据大部分是非结构化的,企业在分析数据时,首先需要考虑漏洞的严重程度及其被利用的可能性,还要考虑如果攻击针对该漏洞,将影响哪些网络资源。同时,要与业务或利益干系人就修复特定漏洞的步骤进行沟通。另外,最好超越传统漏洞扫描流程,在理想情况下,企业还需查看防火墙日志、渗透测试和网络扫描的数据。
步骤4:
确定漏洞的优先级
企业首先需要识别和解决漏洞扫描中的高危漏洞,这种级别的漏洞极易导致计算机数据、应用程序、网络或设备受到未经授权访问的事件。利用漏洞优先级技术解决方案实施基于风险的漏洞管理方法,将漏洞结果带到统一平台以进行优先级排序和处理(例如修补),提高安全运营效率,此步骤是使漏洞评估数据可衡量和可操作的重要举措。
步骤5:
创建漏洞评估报告
在企业完成漏洞评估扫描、分析和风险优先级划分步骤后,需要编写报告,记录分析结果。报告内容应该囊括所有漏洞的详细介绍及严重性、网络中的潜在攻击媒介和可能的解决方案。
报告的部分内容可以使用针对修复和缓解漏洞的网络安全或漏洞专家的技术术语和说明,但仍需要可视化图表和相应解释,以帮助技术程度较低的业务领导者(如首席执行官)了解正在完成的工作及其原因。
步骤6:
及时修正和缓解漏洞
企业在识别网络上或网络中的安全漏洞并确定其优先级后,是时候采取行动了。企业可以使用实际补丁修复一些最关键性漏洞,并采取一定措施缓解其他漏洞。
步骤7:
定期重复漏洞评估
随着技术的持续升级,新出现的应用程序、用户、权限、数据集及其他功能都可能改变企业的现有网络格局。因此,企业有必要循环往复漏洞评估过程,以免遗漏了存在重大风险的漏洞。
如何使用漏洞评估工具?
漏洞评估工具可以实现自动化甚至接管漏洞评估过程中的某些步骤,从而节省人力成本和资源。一些最常见的漏洞评估工具包括资产发现工具、漏洞扫描程序、漏洞评估和报告、漏洞管理工具和风险优先级工具。这些措施都侧重于漏洞评估过程中的不同步骤,对希望实现自动化漏洞评估和管理工作流的团队来说有良好效果。但在投资漏洞评估工具之前,首先需要了解其工作原理,通过以下提示和最佳实践将更有效地使用漏洞评估工具:
1
查看现有的网络安全套件:大部分漏洞评估工具都是漏洞管理或网络安全套件的一部分。如果企业目前已经在与MSSP或其他安全供应商合作,可以询问供应商是否能够提供任何适合企业需求的漏洞评估工具。
2
为企业网络选择适当的工具格式:某些漏洞评估工具可能不适用于特定网络格式。例如,某些设备无法在云上运行,需要更换为虚拟设备。
3
在适当的情况下使用多个漏洞扫描工具:将多个漏洞扫描和管理工具相结合可能会更适用于企业。例如,许多企业选择同时使用付费的第三方扫描程序和开源扫描程序来综合比较,以更好地明确黑客可能使用的攻击媒介。
4
集成漏洞评估工具与解决方案堆栈:如果企业进行漏洞评估投资,可以将其与企业已使用的DevOps、ITSM或票证工具等集成到相互关联的、统一和协调的系统之中,提高效率。
每类企业都应该进行漏洞评估吗?
是的。无论其网络的规模和复杂性如何,恶意行为者随时可能利用任何类型的网络开展攻击,因此,所有企业都应进行漏洞评估,定期评估和巩固网络基础架构中最薄弱的部分。此外,漏洞评估还可以推动企业的合规性发展。如果是资源和预算都较为缺失的小型企业,可以选择费用较低,甚至免费的漏洞扫描程序或其他工具来简化过程,防止单个重大违规行为。
漏洞评估可帮助网络安全专业人员尽早识别安全漏洞的类型、数量、位置和严重性,无论企业的网络规模如何,都应定期对内部团队系统和客户系统进行全面的漏洞评估,以便更好地保护敏感数据、应用程序和其他业务资产。
但网络安全建设从来都不是一件容易的事情,其涉及多个专业领域,需要企业安全人员对企业业务和安全形势具有深刻认识。面对网络空间中存在的安全隐患,大肆堆砌各种安全工具已不是抵抗危机的最首选,甚至会降低建设效率。针对以上问题,网络安全厂商有何良策协助企业提高漏洞管理水平、防范网络安全重大风险?
目前,我国漏洞评估市场仍处于发展阶段,其作为软件安全开发过程、企业攻击面管理以及网络安全风险评估的重要环节,市场需求也在逐年增长,目前市面上的主流产品形态多为囊括漏洞扫描、应急响应、风险评估服务的综合性平台。
墨菲安全“贯众-漏洞情报预警”
据此前采访了解到(详情:墨菲安全章华鹏:与开发流程深度耦合探索软件供应链安全治理新解法),墨菲安全的安全实验室可深入分析漏洞成因和真实影响,包括漏洞在什么条件下会触发,以及用户真实的代码逻辑中是否包含了这样的风险场景,最终去判断漏洞是否真的存在杀伤力;此外,还会进一步评估漏洞本身的影响范围,修复工期成本,让用户直观地看到漏洞的真实影响。
据介绍,其“贯众-漏洞情报预警”系统,覆盖超6w+主流组件,拥有专业漏洞知识库,可实现提前3-7天的独家0day预警,并结合软件成分分析快速盘点影响,情报有效性经专家评判,可帮助企业快速响应排查,提高排查效率。
安恒信息“漏洞管理平台”
据了解,安恒信息的漏洞管理平台面向工业控制系统、数据库、Web应用多个领域,集漏洞收集、生命周期管理、威胁统计评测为一体,实现漏洞根据域名自动匹配对应的企业架构,同时为企业全面系统地呈现威胁类型分布与风险架构分布。漏洞管理系统外接了企业SRC平台,拥有SRC首页、白帽注册、漏洞提交排行榜、公告等一系列配套功能,另外支持VPN流量审计、数据统计可视化、工单派发等功能,为广大安全企业或机构安全部门提供了一套可灵活配置、高效实用的漏洞管理系统。
此外,企业的安全运维人员还能在日常的渗透测试、攻防演习过程中分析哪些漏洞是安全设备无法防御的,同时利用系统存储的明文测试流量可深入了解攻击机制与方式,进一步完善防御规则和策略,使防御能力逐渐提高至与攻击能力一样的水平,有效迅速提升企业自身的信息安全攻防能力。
启明星辰“天镜漏洞管理平台”
针对用户缺乏一套完整的漏洞管理机制和平台、未能落实定期评估与漏洞修补工作等问题,启明星辰推出了“天镜漏洞管理平台”。据了解,该平台可通过实时采集最新漏洞信息、内网主机扫描结果、基线扫描结果、人工渗透测试结果等漏洞信息,对网内资产漏洞信息进行统一关联、展现和告警,使得管理人员可以有效地跟踪资源漏洞生命周期,清楚地掌握全网的安全健康状况,实现漏洞全生命周期的可视、可控和可管。
天镜漏洞管理平台适合大、中型的信息系统,除了能够减少人力资源投入外,还能够对整个网络的脆弱性管理实施统一扫描策略和有效监管,降低了上下级间的沟通成本,提高了脆弱性扫描与管理工作的效率。
参考资料
https://www.esecurityplanet.com/networks/vulnerability-assessment-process/
