漏洞管理(VM)是每個全面信息安全項目的必備基礎(chǔ)，不是什么可選項。事實上，很多信息安全合規(guī)、審計及風險管理框架都要求公司企業(yè)擁有并維護好漏洞管理項目。

[[244925]]

如果你還未購置漏洞管理工具，或者你的漏洞管理項目只是臨時設(shè)置的，那么馬上專設(shè)一個漏洞管理項目應(yīng)該成為你的首要任務(wù)。實際上，互聯(lián)網(wǎng)安全中心(CIS)的第三號關(guān)鍵安全控制就倡議將持續(xù)漏洞評估與緩解作為風險與治理項目的組成部分。

如果你仍認為漏洞管理策略不過是戰(zhàn)術(shù)性運營工具，或許你可以重新考慮一下。漏洞管理應(yīng)該成為你安全項目的重要基石。

一、漏洞管理定義

無規(guī)矩不成方圓，沒定義雞同鴨講，要確保大家討論的是同一件事，就得先明確討論主題的定義。漏洞管理過程一項持續(xù)的信息安全風險事業(yè)，需要多方面的管理督導(dǎo)。漏洞管理主要由4個高級過程組成：發(fā)現(xiàn)、報告、優(yōu)先化及響應(yīng)。強漏洞管理框架中，每個過程和子過程都是著重改善安全和減少網(wǎng)絡(luò)資產(chǎn)風險的持續(xù)周期的一部分。

二、漏洞管理***實踐

1. 以發(fā)現(xiàn)和再發(fā)現(xiàn)管理漏洞

發(fā)現(xiàn)過程是要找出網(wǎng)絡(luò)資產(chǎn)，并加以分類和評估。關(guān)于資產(chǎn)的信息應(yīng)按數(shù)據(jù)類型分類，比如漏洞、配置、補丁狀態(tài)、合規(guī)狀態(tài)或者僅僅是資產(chǎn)庫存。

發(fā)現(xiàn)過程應(yīng)找出網(wǎng)絡(luò)上的每個計算資產(chǎn)(沒錯，就是每一個)，并建立起其他漏洞管理過程可使用的知識庫。由于網(wǎng)絡(luò)不停在變，資產(chǎn)信息也需持續(xù)更新。

2. 報告，報告，報告

發(fā)現(xiàn)過程中找出的數(shù)據(jù)通常以各種不同的形式報告給相應(yīng)的受眾。報告過程應(yīng)創(chuàng)建饋送至漏洞管理過程的優(yōu)先順序矩陣。畢竟，每個漏洞的原始數(shù)據(jù)未必都那么有用。理想狀態(tài)下，這些報告應(yīng)能為戰(zhàn)術(shù)性運營任務(wù)所用，而在較高層級可為高層管理提供可見性及面向業(yè)務(wù)的風險指標。

三、優(yōu)先級最重要

優(yōu)先化是根據(jù)預(yù)定義特征集排序已知風險的關(guān)鍵漏洞管理過程。舉個例子，優(yōu)先化應(yīng)引發(fā)這樣的思考過程：面對來自發(fā)現(xiàn)過程的當前資產(chǎn)狀態(tài)、該特定資產(chǎn)的價值及已知威脅，風險到底有沒有重要到我們應(yīng)花費資源去緩解?或者，該特定資產(chǎn)當下的已知風險是不是公司可接受的?

優(yōu)先化的目標是要用漏洞管理工具創(chuàng)建一張自定義的事件處理順序表。理想狀態(tài)下，該經(jīng)過優(yōu)先排序的動作列表被饋送到標簽系統(tǒng)共IT運營使用，讓系統(tǒng)管理員據(jù)此執(zhí)行特定任務(wù)。

四、風險響應(yīng)

風險響應(yīng)是漏洞優(yōu)先化過程的下半場?；旧希L險響應(yīng)是企業(yè)選擇來解決已知風險的方法(注意：無視風險并非響應(yīng)方式之一)。

解決風險的方法分為3類：修復(fù)、緩解，或是接受。修復(fù)可以理解為修正已經(jīng)發(fā)現(xiàn)的錯漏。比如說，因為忘了打補丁而導(dǎo)致的漏洞，就可以通過安裝補丁程序來加以修復(fù)。

另一方面，緩解是通過采取一些基本不在受影響系統(tǒng)直接管轄范圍之內(nèi)的其他動作來減輕風險。比如說，針對系統(tǒng)上發(fā)現(xiàn)的Web應(yīng)用漏洞，不是去修復(fù)漏洞，而是去安裝一個Web應(yīng)用防火墻。漏洞依然存在，但有了Web應(yīng)用防火墻，風險也就消弭了。

接受風險則是選擇既不修復(fù)也不緩解，單純承認并接受風險的存在。舉個例子，安全運營團隊可能會建議實驗室設(shè)備運行殺毒軟件。但公司利益相關(guān)者卻會因殺軟可能影響工程測試用例而選擇不采用殺軟。這種情況下，公司選擇接受已知風險。

五、范圍之內(nèi)，范圍之外

取得對漏洞管理包含內(nèi)容及其重要性的共識后，就可以接著討論有什么東西不屬于漏洞管理轄下的了，因為似乎很多人對此不甚清楚。

1. 滲透測試不在漏洞管理范圍內(nèi)

漏洞管理不是滲透測試。有產(chǎn)品掃描公司系統(tǒng)并不意味著公司就有了滲透測試工具。事實上，情況正好相反。漏洞管理掃描器往往檢查的是某個補丁是否安裝之類的特定情況存不存在。

而滲透測試工具實際是要嘗試使用預(yù)定義的漏洞利用程序突破公司系統(tǒng)。雖然兩種類型的測試最終交出的結(jié)果可能都是同樣的建議，但達成這些結(jié)論的途徑卻有很大不同。如果想要進行良好的滲透測試，你需要的可能不僅僅是一個工具。滲透測試詳盡繁復(fù)，包括物理測試和面對面的交談以及其他很多東西。

2. 配置漏洞管理

雖然很多漏洞管理系統(tǒng)能與配置管理系統(tǒng)協(xié)作，但兩者之間還是存在很大不同。事實上，CIS對此有很多論述。漏洞管理覆蓋與系統(tǒng)配置和風險標記相關(guān)的問題，而系統(tǒng)配置的運營與管理則是配置管理程序的特殊部分。

六、定義持續(xù)漏洞管理

漏洞管理數(shù)據(jù)的狀態(tài)取決于***一次更新的時候。與審計類似，報告的數(shù)據(jù)僅與最近一次評估相關(guān)。創(chuàng)建最相關(guān)數(shù)據(jù)集的關(guān)鍵在于定期執(zhí)行漏洞管理程序。對某些公司而言，這個頻率是每天或每周。一個季度一次更新是談不上什么持續(xù)不持續(xù)的，一年一次評估更是與持續(xù)搭不上邊，因為我們都知道，網(wǎng)絡(luò)變化的速率會讓年度數(shù)據(jù)在一年中的11個月里都是無用的。

七、應(yīng)該做的和不應(yīng)該做的

漏洞管理只是安全項目的其中一部分，解決不了整個風險管理問題。漏洞管理是安全項目的基礎(chǔ)，只有全面了解自家網(wǎng)絡(luò)上都有些什么，才能有的放矢。如果連網(wǎng)絡(luò)上有些什么都不知道，又何談保護?你還得理解網(wǎng)絡(luò)上每個資產(chǎn)各自的面臨的風險，才可以有效確定優(yōu)先級并加以修復(fù)。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文