若建立在可滿足所有利益相關(guān)者信息需求的成熟基本目標(biāo)之上，若其輸出能夠綁定企業(yè)目標(biāo)，若能夠減少企業(yè)的總體風(fēng)險，那么企業(yè)的漏洞管理項目就能發(fā)揮出其全部潛力。

[[283303]]

此類漏洞管理技術(shù)能夠檢測風(fēng)險，但需要人與過程的基礎(chǔ)以確保項目成功。

漏洞管理項目有四個階段：

1. 確定資產(chǎn)關(guān)鍵性、資產(chǎn)擁有者、掃描頻率，以及確立修復(fù)時間線;

2. 發(fā)現(xiàn)網(wǎng)絡(luò)上的資產(chǎn)，并建立清單;

3. 識別已發(fā)現(xiàn)資產(chǎn)中的漏洞;

4. 報告并修復(fù)已識別漏洞。

第一階段關(guān)注可衡量、可重復(fù)過程的建立。第二階段就第一階段的四個重點執(zhí)行該過程，著重持續(xù)改進(jìn)。下面我們詳細(xì)分析這幾個階段。

第一階段：漏洞掃描過程

此階段中的第一步是確定企業(yè)中資產(chǎn)的關(guān)鍵性

想要構(gòu)建有效風(fēng)險管理項目，必須首先確定企業(yè)中哪些資產(chǎn)需要保護。這適用于企業(yè)網(wǎng)絡(luò)上的計算系統(tǒng)、存儲設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)類型和第三方系統(tǒng)。資產(chǎn)應(yīng)分類，并根據(jù)其對企業(yè)的真正固有風(fēng)險加以排序。

資產(chǎn)固有風(fēng)險評分應(yīng)考慮很多方面，比如對更高級別資產(chǎn)的物理或邏輯連接、用戶訪問及系統(tǒng)可用性。

舉個例子，隔離區(qū)中享有賬戶數(shù)據(jù)庫邏輯訪問權(quán)的資產(chǎn)，其關(guān)鍵性就比實驗室中的資產(chǎn)高。相比測試環(huán)境，生產(chǎn)環(huán)境中的資產(chǎn)享有更高的關(guān)鍵性?；ヂ?lián)網(wǎng)可路由 Web 服務(wù)器比內(nèi)部文件服務(wù)器更關(guān)鍵。

然而，即便關(guān)鍵性較低的資產(chǎn)，其修復(fù)也不容忽視。攻擊者可利用這些常被忽視的資產(chǎn)獲取訪問權(quán)，然后在網(wǎng)絡(luò)中巡游，入侵多個系統(tǒng)，直至入手存放敏感數(shù)據(jù)的系統(tǒng)。修復(fù)工作應(yīng)總是基于整體風(fēng)險相關(guān)性。

第二步是識別每個系統(tǒng)的擁有者

系統(tǒng)擁有者全權(quán)負(fù)責(zé)該資產(chǎn)、其相關(guān)風(fēng)險和被黑后的責(zé)任。這一步對于漏洞管理項目的成功十分關(guān)鍵，因為驅(qū)動著企業(yè)內(nèi)的問責(zé)和修復(fù)工作。

如果沒人承擔(dān)風(fēng)險，就沒人推動該風(fēng)險的緩解。

第三步是確定掃描頻率

互聯(lián)網(wǎng)安全中心在其 Top 20 關(guān)鍵安全控制中建議，公司企業(yè)應(yīng) “以每周一次或更頻繁的頻率，對其網(wǎng)絡(luò)上的所有系統(tǒng)執(zhí)行自動化漏洞掃描”。網(wǎng)絡(luò)安全廠商 Tripwire 每周發(fā)布一次漏洞特征 (ASPL)。

頻繁掃描使漏洞使資產(chǎn)擁有者能夠跟蹤修復(fù)工作進(jìn)展，發(fā)現(xiàn)新的風(fēng)險，并基于新收集的情報重新排序漏洞修復(fù)。

漏洞公布之初可能會因沒有已知漏洞利用程序而漏洞評分較低。一旦漏洞面世一段時間，自動化漏洞利用工具包就可能出現(xiàn)，也就會增加該漏洞的風(fēng)險。脆弱系統(tǒng)可能會因新安裝軟件或補丁回滾而易受一個或一組漏洞的影響。

很多因素可能影響資產(chǎn)更改的風(fēng)險態(tài)勢。頻繁掃描確保資產(chǎn)擁有者緊跟新信息。最底線，漏洞掃描頻率應(yīng)不低于每月一次。

建立該過程的第四步是確立和記錄修復(fù)的時間線及閾值

可以自動化方式利用，可賦予攻擊者特權(quán)控制的漏洞，應(yīng)當(dāng)立即修復(fù)。提供更難利用的特權(quán)控制，或目前僅在理論上可利用的漏洞，應(yīng)在 30 天內(nèi)修復(fù)。危險程度更低的漏洞應(yīng)當(dāng)在 90 天內(nèi)修復(fù)。

系統(tǒng)擁有者無法在恰當(dāng)時間框架內(nèi)修復(fù)漏洞的情況下，應(yīng)可應(yīng)用修復(fù)異常過程。

該過程應(yīng)記錄下系統(tǒng)擁有者對此風(fēng)險的理解與接受情況，并設(shè)置在某一日期前修復(fù)該漏洞的可接受行動計劃。有效期是漏洞異常的必備元素。

第二階段：資產(chǎn)發(fā)現(xiàn)與清單建立

資產(chǎn)發(fā)現(xiàn)與清單建立位列關(guān)鍵安全控制的第一和第二位。這是任何安全項目的基礎(chǔ)——無論是信息安全還是其他安全，因為防御者無法保護自己不知道的東西。

首要關(guān)鍵安全控制是擁有網(wǎng)絡(luò)上所有已授權(quán)和未授權(quán)設(shè)備的清單。次要關(guān)鍵安全控制是擁有企業(yè)網(wǎng)絡(luò)中資產(chǎn)上安裝的已授權(quán)和未授權(quán)軟件的清單。

這兩個關(guān)鍵安全控制相輔相成，因為攻擊者總試圖發(fā)現(xiàn)可容易利用的系統(tǒng)以進(jìn)入企業(yè)網(wǎng)絡(luò)。一旦進(jìn)入網(wǎng)絡(luò)，攻擊者便可利用其在此系統(tǒng)上的控制權(quán)攻擊其他系統(tǒng)，進(jìn)一步滲透此網(wǎng)絡(luò)。

確保信息安全團隊知曉網(wǎng)絡(luò)上都有些什么，可以使他們更好地保護這些系統(tǒng)，并為這些系統(tǒng)的擁有者提供指導(dǎo)，減少這些資產(chǎn)面臨的風(fēng)險。

用戶部署了系統(tǒng)卻未通告信息安全團隊的情況非常常見，從測試服務(wù)器到員工桌下為了方便而設(shè)置的無線路由器等等。如果缺乏恰當(dāng)?shù)馁Y產(chǎn)發(fā)現(xiàn)和網(wǎng)絡(luò)訪問控制，此類設(shè)備可為攻擊者打開進(jìn)入內(nèi)部網(wǎng)絡(luò)的方便之門。

在確定范圍內(nèi)執(zhí)行資產(chǎn)發(fā)現(xiàn)，并在執(zhí)行漏洞掃描前識別這些已發(fā)現(xiàn)資產(chǎn)上運行著哪些應(yīng)用。

第三階段：漏洞檢測

發(fā)現(xiàn)了網(wǎng)絡(luò)上所有資產(chǎn)后，下一步就是識別每個資產(chǎn)的漏洞風(fēng)險狀態(tài)。

可通過未經(jīng)身份驗證或經(jīng)驗證的掃描發(fā)現(xiàn)漏洞，或者部署代理以確定漏洞狀態(tài)。攻擊者通常會以未經(jīng)身份驗證的掃描查看系統(tǒng)狀態(tài)。因此，不帶憑證的掃描將提供類似原始攻擊者所看到的系統(tǒng)漏洞狀態(tài)視圖。

未經(jīng)身份驗證的掃描有利于識別一些極高風(fēng)險漏洞，此類漏洞可被攻擊者遠(yuǎn)程檢測并利用以獲取系統(tǒng)的深層訪問權(quán)。然而，總有一些漏洞是用戶下載郵件附件或點擊惡意鏈接就能利用的，用未經(jīng)身份驗證的掃描還檢測不到。

更為全面的漏洞掃描推薦方是經(jīng)驗證的掃描，或者部署代理。這種方法可以提升企業(yè)漏洞風(fēng)險檢測的準(zhǔn)確性。經(jīng)驗證的掃描特定于資產(chǎn)發(fā)現(xiàn)與清單建立階段檢測出的操作系統(tǒng)和已安裝應(yīng)用，識別其上存在哪些漏洞。

本地安裝應(yīng)用中的漏洞只能由這種方法檢測。經(jīng)驗證的漏洞掃描還能識別攻擊者可能從外部未經(jīng)驗證漏洞掃描中看到的那些漏洞。

很多漏洞掃描器提供的漏洞狀態(tài)結(jié)果僅檢測補丁級別或應(yīng)用版本。漏洞掃描工具應(yīng)該提供更為詳盡的分析，因為其漏洞特征碼能夠確定很多因素。比如脆弱庫的移除、注冊表鍵和(但不限于)應(yīng)用修復(fù)是否需重啟系統(tǒng)。

第四階段：報告與修復(fù)

漏洞掃描完成后，每個漏洞都會由指數(shù)型算法基于三個因素給出漏洞評分：

1. 利用該漏洞所需的技術(shù);

2. 成功漏洞利用所能獲得的權(quán)限;

3. 漏洞年齡。

漏洞越容易利用，能獲得的權(quán)限越高，風(fēng)險評分就越高。除此之外，風(fēng)險評分隨漏洞年齡增長而增加。應(yīng)考慮的首要指標(biāo)是企業(yè)的總體基線平均風(fēng)險評分。

最成熟的企業(yè)其平均風(fēng)險評分甚至更低，并且專注于解決風(fēng)險評分高于 1,000 的每一個漏洞。應(yīng)關(guān)注的下一個指標(biāo)就是資產(chǎn)擁有者平均風(fēng)險評分。

資產(chǎn)所有權(quán)在第一階段就已識別，因此，每個擁有者都應(yīng)能夠看到其資產(chǎn)的基線風(fēng)險評分。與企業(yè)總體目標(biāo)類似，每個擁有者應(yīng)從平均風(fēng)險評分每年遞減 10% 到 25% 開始，直到評分低于企業(yè)可接受閾值。

系統(tǒng)擁有者相互之間應(yīng)能看到各自評分，進(jìn)行對比以知悉自身所處位置。風(fēng)險評分比較低的系統(tǒng)擁有者應(yīng)受到獎勵。

為推動修復(fù)，系統(tǒng)擁有者需要實證漏洞數(shù)據(jù)以描述哪些漏洞應(yīng)修復(fù)，以及如何執(zhí)行修復(fù)的說明。報告應(yīng)顯示最脆弱的主機、風(fēng)險評分比較高的漏洞和/或針對特定高危應(yīng)用的報告。這樣系統(tǒng)擁有者就可以合理排序修復(fù)工作，優(yōu)先解決可很大限度降低企業(yè)風(fēng)險的那些漏洞。

隨著新漏洞掃描的執(zhí)行，新的指標(biāo)可與之前掃描的指標(biāo)做對比，顯示風(fēng)險趨勢分析和修復(fù)進(jìn)展。

可用于跟蹤修復(fù)情況的一些指標(biāo)如下：

• 擁有者每資產(chǎn)平均漏洞評分和總體平均漏洞評分如何?
• 擁有者修復(fù)基礎(chǔ)設(shè)施漏洞平均耗時和總體修復(fù)平均耗時有多長?
• 擁有者修復(fù)應(yīng)用漏洞平均耗時和總體修復(fù)平均耗時有多長?
• 最近未接受漏洞掃描的資產(chǎn)占比多少?
• 系統(tǒng)上暴露了多少提供特權(quán)訪問的遠(yuǎn)程可利用漏洞?

項目構(gòu)建初始階段，企業(yè)平均漏洞評分很高、修復(fù)周期很長的現(xiàn)象并不罕見。關(guān)鍵在于逐月、逐季度、逐年進(jìn)展。

隨著團隊對此過程愈加熟悉，愈加了解攻擊者帶來的風(fēng)險，企業(yè)風(fēng)險評分和漏洞修復(fù)時間應(yīng)會逐漸減少。

漏洞與風(fēng)險管理是個持續(xù)的過程。最成功的項目能夠持續(xù)自適應(yīng)，且與企業(yè)網(wǎng)絡(luò)安全項目的風(fēng)險減少目標(biāo)相一致。應(yīng)經(jīng)常審查該過程，員工應(yīng)緊跟信息安全較新的威脅與趨勢。

確保人員、過程與技術(shù)的持續(xù)發(fā)展，將保證企業(yè)漏洞與風(fēng)險管理項目的成功。