漏洞管理不等同于补丁管理。补丁管理对于整个企业中的服务器和终端的版本与补丁等级进行跟踪。漏洞管理则是要在资源有限的情况下,解决最严重的漏洞,从而最大限度改善安全状况,而不是安装所有的补丁。

2024.04 摄于天津滨海新区·大沽炮台博物馆


基本概念

CIA三要素

  1. 信息的机密性:谁能访问数据
  2. 信息的完整性:谁能修改数据
  3. 信息的可用性:对获得授权的用户来说,数据是否可用

漏洞管理

  1. 洞悉当前的漏洞环境
  2. 对收集的数据与其他来源获得的与安全相关的数据进行分析
  3. 根据数据分析结果提出建议

数据收集

  1. 内部数据收集
    1. 收集有关组织环境的信息
      1. 资产信息
      2. 主机清单
      3. 网络配置信息
      4. 定期扫描
    2. 使用漏洞扫描器发现漏洞
      1. 使用漏洞扫描器监测网络内主机漏洞
        1. 确保扫描器有访问权限
        2. 安装多个扫描器
        3. 配置扫描器
        4. 获取结果
      2. 使用非扫描代理\软件配置管理工具或者CMDB,通过软件清单与漏洞数据库对比,从而确定已知漏洞.
  2. 外部数据收集
    1. 从组织外部获取数据,比如CVE等
    2. 第三方威胁情报
      1. 威胁情报feed
      2. 专用漏洞利用程序

数据分析

  1. 精简漏洞清单,也叫剔除法
  2. 按重要性对漏洞进行排序,也叫排名法
  3. 提出建议
    1. 打补丁
    2. 缓解措施
  4. 实施建议

风险管理

漏洞管理 风险管理
收集数据 找出关键资产
分析数据 找出风险并对其进行排名
提出建议 确定控制措施
实施建议 实施控制措施
收集数据 监视控制措施

自动漏洞管理

理解自动化

  1. 将来自3个主要数据源的信息以及其他可获得的数据源信息关联起来
  2. 信息通过2个共享字段关联起来
    1. 资产和漏洞数据之间共享的IP地址
    2. 漏洞数据和漏洞利用数据之间共享的CVE ID
  3. 先用IP地址将资产与漏洞相关联,再根据CVE ID将漏洞与漏洞利用程序关联
数据 分析
资产数据 资产摘要:有关资产机器操作系统、开放端口和网络信息的报告
漏洞数据 漏洞摘要:在资产中发现的漏洞,并确定漏洞的优先级
漏洞利用数据 漏洞利用匹配及进一步确定漏洞优先级

合并数据集并应用优先级规则后,便有了最终的成果,这是一个按风险从高到低排列的主机列表,并指出每台主机存在的漏洞。

自动扫描和更新

  1. 调度扫描并自动生成报告以及通过E-Mail发送
  2. 自动导入数据库,每周报告自动生成

处理漏洞

安全措施

  1. 打补丁
  2. 缓解措施
    1. 基于应用程序的缓解措施
    2. 基于主机的缓解措施
    3. 基于网络的缓解措施
    4. 逻辑型的缓解措施
    5. 物理型的缓解措施

系统性措施

接受风险

深度防御

同时采用多种防御措施,建立分层的漏洞防御机制。

对措施进行验证

对于任何措施,都不要想当然地认为它管用。对于采取的任何措施,都务必进行测试,确认它解决了相应的漏洞。

组织支持和办公室规则

介绍人-数据接口(Human-data Interface), 要利用分析结果来改善组织的安全状况,需要牢固地掌握人际互动以及组织的结构和规则。这是漏洞管理过程中以人为中心的部分。

从宏观的角度来看,所有人的目标是一致的,但从微观的角度看,这些不同的目标有可能冲突。

长远地看,解决所有人的问题的方案很简单:加强信息安全和风险管理。

  1. 倾听别人的观点并给予理解
  2. 让利益相关方尽早参与
  3. 明白办公室规则
  4. 使用对方能够听懂的语言
  5. 寻求高层支持

风险管理依据

风险 = 可能性 * 代价

  1. 权衡采购新安全硬件或者软件开销和好处
  2. 估算各种攻击者可能带来的损害并考虑可用的反制措施