若建立在可滿(mǎn)足所有利益相關(guān)者信息需求的成熟基本目標(biāo)之上，若其輸出能夠綁定企業(yè)目標(biāo)，若能夠減少企業(yè)的總體風(fēng)險(xiǎn)，那么企業(yè)的漏洞管理項(xiàng)目就能發(fā)揮出其全部潛力。

[[283303]]

此類(lèi)漏洞管理技術(shù)能夠檢測(cè)風(fēng)險(xiǎn)，但需要人與過(guò)程的基礎(chǔ)以確保項(xiàng)目成功。

漏洞管理項(xiàng)目有四個(gè)階段：

1. 確定資產(chǎn)關(guān)鍵性、資產(chǎn)擁有者、掃描頻率，以及確立修復(fù)時(shí)間線(xiàn);

2. 發(fā)現(xiàn)網(wǎng)絡(luò)上的資產(chǎn)，并建立清單;

3. 識(shí)別已發(fā)現(xiàn)資產(chǎn)中的漏洞;

4. 報(bào)告并修復(fù)已識(shí)別漏洞。

第一階段關(guān)注可衡量、可重復(fù)過(guò)程的建立。第二階段就第一階段的四個(gè)重點(diǎn)執(zhí)行該過(guò)程，著重持續(xù)改進(jìn)。下面我們?cè)敿?xì)分析這幾個(gè)階段。

第一階段：漏洞掃描過(guò)程

此階段中的第一步是確定企業(yè)中資產(chǎn)的關(guān)鍵性

想要構(gòu)建有效風(fēng)險(xiǎn)管理項(xiàng)目，必須首先確定企業(yè)中哪些資產(chǎn)需要保護(hù)。這適用于企業(yè)網(wǎng)絡(luò)上的計(jì)算系統(tǒng)、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)類(lèi)型和第三方系統(tǒng)。資產(chǎn)應(yīng)分類(lèi)，并根據(jù)其對(duì)企業(yè)的真正固有風(fēng)險(xiǎn)加以排序。

資產(chǎn)固有風(fēng)險(xiǎn)評(píng)分應(yīng)考慮很多方面，比如對(duì)更高級(jí)別資產(chǎn)的物理或邏輯連接、用戶(hù)訪(fǎng)問(wèn)及系統(tǒng)可用性。

舉個(gè)例子，隔離區(qū)中享有賬戶(hù)數(shù)據(jù)庫(kù)邏輯訪(fǎng)問(wèn)權(quán)的資產(chǎn)，其關(guān)鍵性就比實(shí)驗(yàn)室中的資產(chǎn)高。相比測(cè)試環(huán)境，生產(chǎn)環(huán)境中的資產(chǎn)享有更高的關(guān)鍵性。互聯(lián)網(wǎng)可路由 Web 服務(wù)器比內(nèi)部文件服務(wù)器更關(guān)鍵。

然而，即便關(guān)鍵性較低的資產(chǎn)，其修復(fù)也不容忽視。攻擊者可利用這些常被忽視的資產(chǎn)獲取訪(fǎng)問(wèn)權(quán)，然后在網(wǎng)絡(luò)中巡游，入侵多個(gè)系統(tǒng)，直至入手存放敏感數(shù)據(jù)的系統(tǒng)。修復(fù)工作應(yīng)總是基于整體風(fēng)險(xiǎn)相關(guān)性。

第二步是識(shí)別每個(gè)系統(tǒng)的擁有者

系統(tǒng)擁有者全權(quán)負(fù)責(zé)該資產(chǎn)、其相關(guān)風(fēng)險(xiǎn)和被黑后的責(zé)任。這一步對(duì)于漏洞管理項(xiàng)目的成功十分關(guān)鍵，因?yàn)轵?qū)動(dòng)著企業(yè)內(nèi)的問(wèn)責(zé)和修復(fù)工作。

如果沒(méi)人承擔(dān)風(fēng)險(xiǎn)，就沒(méi)人推動(dòng)該風(fēng)險(xiǎn)的緩解。

第三步是確定掃描頻率

互聯(lián)網(wǎng)安全中心在其 Top 20 關(guān)鍵安全控制中建議，公司企業(yè)應(yīng) “以每周一次或更頻繁的頻率，對(duì)其網(wǎng)絡(luò)上的所有系統(tǒng)執(zhí)行自動(dòng)化漏洞掃描”。網(wǎng)絡(luò)安全廠(chǎng)商 Tripwire 每周發(fā)布一次漏洞特征 (ASPL)。

頻繁掃描使漏洞使資產(chǎn)擁有者能夠跟蹤修復(fù)工作進(jìn)展，發(fā)現(xiàn)新的風(fēng)險(xiǎn)，并基于新收集的情報(bào)重新排序漏洞修復(fù)。

漏洞公布之初可能會(huì)因沒(méi)有已知漏洞利用程序而漏洞評(píng)分較低。一旦漏洞面世一段時(shí)間，自動(dòng)化漏洞利用工具包就可能出現(xiàn)，也就會(huì)增加該漏洞的風(fēng)險(xiǎn)。脆弱系統(tǒng)可能會(huì)因新安裝軟件或補(bǔ)丁回滾而易受一個(gè)或一組漏洞的影響。

很多因素可能影響資產(chǎn)更改的風(fēng)險(xiǎn)態(tài)勢(shì)。頻繁掃描確保資產(chǎn)擁有者緊跟新信息。最底線(xiàn)，漏洞掃描頻率應(yīng)不低于每月一次。

建立該過(guò)程的第四步是確立和記錄修復(fù)的時(shí)間線(xiàn)及閾值

可以自動(dòng)化方式利用，可賦予攻擊者特權(quán)控制的漏洞，應(yīng)當(dāng)立即修復(fù)。提供更難利用的特權(quán)控制，或目前僅在理論上可利用的漏洞，應(yīng)在 30 天內(nèi)修復(fù)。危險(xiǎn)程度更低的漏洞應(yīng)當(dāng)在 90 天內(nèi)修復(fù)。

系統(tǒng)擁有者無(wú)法在恰當(dāng)時(shí)間框架內(nèi)修復(fù)漏洞的情況下，應(yīng)可應(yīng)用修復(fù)異常過(guò)程。

該過(guò)程應(yīng)記錄下系統(tǒng)擁有者對(duì)此風(fēng)險(xiǎn)的理解與接受情況，并設(shè)置在某一日期前修復(fù)該漏洞的可接受行動(dòng)計(jì)劃。有效期是漏洞異常的必備元素。

第二階段：資產(chǎn)發(fā)現(xiàn)與清單建立

資產(chǎn)發(fā)現(xiàn)與清單建立位列關(guān)鍵安全控制的第一和第二位。這是任何安全項(xiàng)目的基礎(chǔ)——無(wú)論是信息安全還是其他安全，因?yàn)榉烙邿o(wú)法保護(hù)自己不知道的東西。

首要關(guān)鍵安全控制是擁有網(wǎng)絡(luò)上所有已授權(quán)和未授權(quán)設(shè)備的清單。次要關(guān)鍵安全控制是擁有企業(yè)網(wǎng)絡(luò)中資產(chǎn)上安裝的已授權(quán)和未授權(quán)軟件的清單。

這兩個(gè)關(guān)鍵安全控制相輔相成，因?yàn)楣粽呖傇噲D發(fā)現(xiàn)可容易利用的系統(tǒng)以進(jìn)入企業(yè)網(wǎng)絡(luò)。一旦進(jìn)入網(wǎng)絡(luò)，攻擊者便可利用其在此系統(tǒng)上的控制權(quán)攻擊其他系統(tǒng)，進(jìn)一步滲透此網(wǎng)絡(luò)。

確保信息安全團(tuán)隊(duì)知曉網(wǎng)絡(luò)上都有些什么，可以使他們更好地保護(hù)這些系統(tǒng)，并為這些系統(tǒng)的擁有者提供指導(dǎo)，減少這些資產(chǎn)面臨的風(fēng)險(xiǎn)。

用戶(hù)部署了系統(tǒng)卻未通告信息安全團(tuán)隊(duì)的情況非常常見(jiàn)，從測(cè)試服務(wù)器到員工桌下為了方便而設(shè)置的無(wú)線(xiàn)路由器等等。如果缺乏恰當(dāng)?shù)馁Y產(chǎn)發(fā)現(xiàn)和網(wǎng)絡(luò)訪(fǎng)問(wèn)控制，此類(lèi)設(shè)備可為攻擊者打開(kāi)進(jìn)入內(nèi)部網(wǎng)絡(luò)的方便之門(mén)。

在確定范圍內(nèi)執(zhí)行資產(chǎn)發(fā)現(xiàn)，并在執(zhí)行漏洞掃描前識(shí)別這些已發(fā)現(xiàn)資產(chǎn)上運(yùn)行著哪些應(yīng)用。

第三階段：漏洞檢測(cè)

發(fā)現(xiàn)了網(wǎng)絡(luò)上所有資產(chǎn)后，下一步就是識(shí)別每個(gè)資產(chǎn)的漏洞風(fēng)險(xiǎn)狀態(tài)。

可通過(guò)未經(jīng)身份驗(yàn)證或經(jīng)驗(yàn)證的掃描發(fā)現(xiàn)漏洞，或者部署代理以確定漏洞狀態(tài)。攻擊者通常會(huì)以未經(jīng)身份驗(yàn)證的掃描查看系統(tǒng)狀態(tài)。因此，不帶憑證的掃描將提供類(lèi)似原始攻擊者所看到的系統(tǒng)漏洞狀態(tài)視圖。

未經(jīng)身份驗(yàn)證的掃描有利于識(shí)別一些極高風(fēng)險(xiǎn)漏洞，此類(lèi)漏洞可被攻擊者遠(yuǎn)程檢測(cè)并利用以獲取系統(tǒng)的深層訪(fǎng)問(wèn)權(quán)。然而，總有一些漏洞是用戶(hù)下載郵件附件或點(diǎn)擊惡意鏈接就能利用的，用未經(jīng)身份驗(yàn)證的掃描還檢測(cè)不到。

更為全面的漏洞掃描推薦方是經(jīng)驗(yàn)證的掃描，或者部署代理。這種方法可以提升企業(yè)漏洞風(fēng)險(xiǎn)檢測(cè)的準(zhǔn)確性。經(jīng)驗(yàn)證的掃描特定于資產(chǎn)發(fā)現(xiàn)與清單建立階段檢測(cè)出的操作系統(tǒng)和已安裝應(yīng)用，識(shí)別其上存在哪些漏洞。

本地安裝應(yīng)用中的漏洞只能由這種方法檢測(cè)。經(jīng)驗(yàn)證的漏洞掃描還能識(shí)別攻擊者可能從外部未經(jīng)驗(yàn)證漏洞掃描中看到的那些漏洞。

很多漏洞掃描器提供的漏洞狀態(tài)結(jié)果僅檢測(cè)補(bǔ)丁級(jí)別或應(yīng)用版本。漏洞掃描工具應(yīng)該提供更為詳盡的分析，因?yàn)槠渎┒刺卣鞔a能夠確定很多因素。比如脆弱庫(kù)的移除、注冊(cè)表鍵和(但不限于)應(yīng)用修復(fù)是否需重啟系統(tǒng)。

第四階段：報(bào)告與修復(fù)

漏洞掃描完成后，每個(gè)漏洞都會(huì)由指數(shù)型算法基于三個(gè)因素給出漏洞評(píng)分：

1. 利用該漏洞所需的技術(shù);

2. 成功漏洞利用所能獲得的權(quán)限;

3. 漏洞年齡。

漏洞越容易利用，能獲得的權(quán)限越高，風(fēng)險(xiǎn)評(píng)分就越高。除此之外，風(fēng)險(xiǎn)評(píng)分隨漏洞年齡增長(zhǎng)而增加。應(yīng)考慮的首要指標(biāo)是企業(yè)的總體基線(xiàn)平均風(fēng)險(xiǎn)評(píng)分。

最成熟的企業(yè)其平均風(fēng)險(xiǎn)評(píng)分甚至更低，并且專(zhuān)注于解決風(fēng)險(xiǎn)評(píng)分高于 1,000 的每一個(gè)漏洞。應(yīng)關(guān)注的下一個(gè)指標(biāo)就是資產(chǎn)擁有者平均風(fēng)險(xiǎn)評(píng)分。

資產(chǎn)所有權(quán)在第一階段就已識(shí)別，因此，每個(gè)擁有者都應(yīng)能夠看到其資產(chǎn)的基線(xiàn)風(fēng)險(xiǎn)評(píng)分。與企業(yè)總體目標(biāo)類(lèi)似，每個(gè)擁有者應(yīng)從平均風(fēng)險(xiǎn)評(píng)分每年遞減 10% 到 25% 開(kāi)始，直到評(píng)分低于企業(yè)可接受閾值。

系統(tǒng)擁有者相互之間應(yīng)能看到各自評(píng)分，進(jìn)行對(duì)比以知悉自身所處位置。風(fēng)險(xiǎn)評(píng)分比較低的系統(tǒng)擁有者應(yīng)受到獎(jiǎng)勵(lì)。

為推動(dòng)修復(fù)，系統(tǒng)擁有者需要實(shí)證漏洞數(shù)據(jù)以描述哪些漏洞應(yīng)修復(fù)，以及如何執(zhí)行修復(fù)的說(shuō)明。報(bào)告應(yīng)顯示最脆弱的主機(jī)、風(fēng)險(xiǎn)評(píng)分比較高的漏洞和/或針對(duì)特定高危應(yīng)用的報(bào)告。這樣系統(tǒng)擁有者就可以合理排序修復(fù)工作，優(yōu)先解決可很大限度降低企業(yè)風(fēng)險(xiǎn)的那些漏洞。

隨著新漏洞掃描的執(zhí)行，新的指標(biāo)可與之前掃描的指標(biāo)做對(duì)比，顯示風(fēng)險(xiǎn)趨勢(shì)分析和修復(fù)進(jìn)展。

可用于跟蹤修復(fù)情況的一些指標(biāo)如下：

• 擁有者每資產(chǎn)平均漏洞評(píng)分和總體平均漏洞評(píng)分如何?
• 擁有者修復(fù)基礎(chǔ)設(shè)施漏洞平均耗時(shí)和總體修復(fù)平均耗時(shí)有多長(zhǎng)?
• 擁有者修復(fù)應(yīng)用漏洞平均耗時(shí)和總體修復(fù)平均耗時(shí)有多長(zhǎng)?
• 最近未接受漏洞掃描的資產(chǎn)占比多少?
• 系統(tǒng)上暴露了多少提供特權(quán)訪(fǎng)問(wèn)的遠(yuǎn)程可利用漏洞?

項(xiàng)目構(gòu)建初始階段，企業(yè)平均漏洞評(píng)分很高、修復(fù)周期很長(zhǎng)的現(xiàn)象并不罕見(jiàn)。關(guān)鍵在于逐月、逐季度、逐年進(jìn)展。

隨著團(tuán)隊(duì)對(duì)此過(guò)程愈加熟悉，愈加了解攻擊者帶來(lái)的風(fēng)險(xiǎn)，企業(yè)風(fēng)險(xiǎn)評(píng)分和漏洞修復(fù)時(shí)間應(yīng)會(huì)逐漸減少。

漏洞與風(fēng)險(xiǎn)管理是個(gè)持續(xù)的過(guò)程。最成功的項(xiàng)目能夠持續(xù)自適應(yīng)，且與企業(yè)網(wǎng)絡(luò)安全項(xiàng)目的風(fēng)險(xiǎn)減少目標(biāo)相一致。應(yīng)經(jīng)常審查該過(guò)程，員工應(yīng)緊跟信息安全較新的威脅與趨勢(shì)。

確保人員、過(guò)程與技術(shù)的持續(xù)發(fā)展，將保證企業(yè)漏洞與風(fēng)險(xiǎn)管理項(xiàng)目的成功。