读红蓝攻防：技术与策略32漏洞管理最佳实践

1. 漏洞策略的要素

1.1. 人员

• 1.1.1. 处理安全问题的团队以及参与流程和计划的员工应该在处理漏洞问题方面具有广泛的知识和专业技能
  

1.2. 流程

• 1.2.1. 进行评估的流程可以由任何人完成
  

1.3. 技术

• 1.3.1. 安全专家使用的技术在漏洞管理系统的有效性方面发挥着巨大作用
  
• 1.3.2. 该技术应该足够简单，以帮助进行有效扫描，并在系统出现问题时启用其他功能
  

2. 漏洞管理与漏洞评估的区别

2.1. 在追求有效的漏洞管理的过程中，漏洞评估帮助组织确定系统中的漏洞，然后才能制定一个全面的漏洞管理计划来解决所发现的问题

• 2.1.1. 织雇用外部安全顾问等专家对系统进行评估，专门评估系统的漏洞和它们给公司带来的风险
  

2.2. 漏洞管理是一个多方面的、持续的过程，而漏洞评估是一个一次性的项目

• 2.2.1. 评估有一个固定的时间段，安全专家将扫描系统以识别潜在的漏洞
  
• 2.2.2. 扫描成功后，专家将能够识别系统中的弱点
  
• 2.2.2.1. 这标志着漏洞评估阶段的工作结束
  
• 2.2.2.2. 漏洞管理则不止于此
  
• 2.2.3. 评估完成后的所有后续活动都属于漏洞管理
  

2.3. 漏洞管理还包括其他过程，如识别漏洞、处理已识别的漏洞，以及将这些漏洞报告给利益相关者，如业务执行部门和行业网络安全专家，如可能使用该信息升级其安全产品的供应商

• 2.3.1. 漏洞管理的整个过程比评估更重要，评估只帮助识别问题，而没有为识别的问题提供处理过程
  

2.4. 漏洞评估并不能解决系统的缺陷，它只能通过为这些缺陷推荐解决方案来提供帮助

• 2.4.1. 漏洞管理更进一步，将确保解决方案得到实施，安全问题得到解决
  
• 2.4.2. 评估无助于改进系统，它只会提醒你所面临的来自系统的危险
  

3. 漏洞管理最佳实践

3.1. 即使用最好的工具，在漏洞管理中，执行才是最重要的
3.2. 从资产盘点开始，组织应该建立单一的权威点

• 3.2.1. 应该有一个人可以承担责任
  

3.3. 鼓励在数据输入过程中使用一致的缩写

• 3.3.1. 如果缩写不断变化，另一个试图查看清单的人可能会感到困惑，清单还应每年至少验证一次
  

3.4. 最好像对待管理过程中的其他变更一样谨慎对待清单管理系统的变更
3.5. 在信息管理阶段，组织可以获得的最大成就是向相关受众快速有效地传播信息

• 3.5.1. 让员工有意识地订阅邮件列表
  
• 3.5.2. 允许事件响应小组在网站上向组织的用户发布自己的报告、统计数据和建议
  
• 3.5.3. 应定期召开会议，与用户讨论新的漏洞、病毒、恶意活动和社会工程学技术
  
• 3.5.4. 能告知所有的用户他们可能面临的威胁以及如何有效地应对这些威胁
  
• 3.5.5. 制定一个标准化模板，以显示所有与安全相关的电子邮件的特征
  

3.6. 风险评估阶段是漏洞管理生命周期中对手动操作要求最高的阶段之一

• 3.6.1. 在新漏洞出现时立即记录检查这个新漏洞的方法
  
• 3.6.2. 向公众或至少向组织用户发布风险评级
  
• 3.6.3. 建议在此阶段确保资产目录既可用又可更新，以便在风险分析期间梳理网络中的所有主机
  
• 3.6.4. 每个组织的事件响应小组还应发布组织为保护自身安全而部署的每个工具的矩阵
  
• 3.6.5. 本组织应确保有一个严格的变更管理流程，以确保新员工了解本组织的安全态势和已建立的保护机制
  

3.7. 漏洞评估阶段与风险评估阶段

• 3.7.1. 在广泛测试网络之前征求许可也是一种良好的做法
  
• 3.7.2. 为特定环境（即组织主机的不同操作系统）创建自定义策略
  
• 3.7.3. 组织应确定最适合其主机的扫描工具
  

3.8. 在报告和补救跟踪阶段

• 3.8.1. 确保有可靠的工具向资产所有者发送有关其存在的漏洞以及这些漏洞是否已完全修复的报告
  
• 3.8.2. 减少从被发现包含漏洞的计算机的用户那里收到的不必要的电子邮件的数量
  
• 3.8.3. 按照严重程度的层次结构执行补救措施
  
• 3.8.3.1. 应该优先解决风险最大的漏洞
  

3.9. 响应计划阶段

• 3.9.1. 实现对不同漏洞的响应的阶段
  
• 3.9.2. 确保响应计划被记录，且事件响应小组和普通用户熟知响应计划
  
• 3.9.3. 应快速而准确地向普通用户提供有关修复已发现漏洞的进度
  
• 3.9.4. 让事件响应小组轻松访问网络，以便更快地实施修复工作
  

3.10. 改进漏洞管理的策略

• 3.10.1. 有一个漏洞管理系统是一回事，让系统有效地工作以阻止攻击者是另一回事
  
• 3.10.2. 人们认识到拥有一个漏洞管理系统的重要性
  
• 3.10.3. 将行政支持作为主要优先事项：一个组织的行政部门是制定战略决策以及与财务相关的重要决策的部门
  
• 3.10.3.1. 确保你有一个漏洞管理系统，它可以为行政人员提供关于组织所有方面的详尽报告，这意味着该系统是有效的
  
• 3.10.3.2. 目标是拥有一个满足行政部门需求的漏洞管理策略
  
• 3.10.3.3. 系统为执行人员生成的报告越具体，效果就越好
  
• 3.10.4. 确保优先考虑资产可见性
  
• 3.10.4.1. 目的是确保在任何时候都有全面的资产可见性
  
• 3.10.4.2. 资产发现是漏洞管理的一个主要因素
  
• 3.10.4.3. 如果没有检查组织拥有的所有资产并审查其状态的能力，就无法进行漏洞管理
  
• 3.10.4.4. 漏洞管理程序应该能够提供检查与组织相关的所有资产的能力，以确保该程序涵盖了它们
  
• 3.10.4.5. 漏洞管理系统应能够执行无代理扫描、基于代理扫描、端点扫描、BYOD设备扫描、云资产扫描等操作
  
• 3.10.4.6. 扫描应定期进行，以确保及时识别和整理新的漏洞
  
• 3.10.5. 确保扫描与修复过程保持一致
  
• 3.10.5.1. 修复练习是为确保已识别的漏洞得到解决而采取的操作
  
• 3.10.5.2. 应该确保扫描工作和修复工作以相同的频率进行
  

1. >  3.10.5.2.1. 扫描和发现漏洞而不采取任何措施是毫无意义的

复制代码

• 3.10.5.3. 确保定期进行扫描，并及时进行修复
  

1. >  3.10.5.3.1. 这将确保一个有效的漏洞管理系统

复制代码

• 3.10.6. 所有风险评估都应考虑业务环境
  
• 3.10.6.1. 引入业务环境需要分析系统中风险和漏洞的业务影响
  
• 3.10.6.2. 漏洞管理程序不应该对系统中的所有漏洞给予同等的重视
  
• 3.10.6.3. 应该分析每个已发现的漏洞，并分析其利用对业务的影响，从而确定需要解决的漏洞的优先级
  
• 3.10.6.4. 对已发现的漏洞还需要进行战略管理，这意味着在采取补救措施之前，需要从业务影响的角度对其进行分析
  
• 3.10.7. 确保将漏洞管理系统中的例外情况降到最低
  
• 3.10.7.1. 系统中的例外情况是指那些不需要扫描的设备
  

1. >  3.10.7.1.1. 其漏洞对漏洞管理程序来说也是未知的

复制代码

• 3.10.7.2. 这些例外情况给组织带来了未知的风险，例外情况越多，攻击者找到并利用例外情况的可能性就越大
  
• 3.10.8. 将努力集中在正确的度量标准上
  
• 3.10.8.1. 度量标准在决定漏洞管理程序是否成功方面发挥着关键作用
  
• 3.10.8.2. 在扫描和收集信息后，确定对组织至关重要的度量标准，并坚持使用这些记录来改进漏洞管理程序非常重要
  
• 3.10.8.3. 更追求质量，而不是数量
  
• 3.10.8.4. 不要保存大量不使用的数据，这只会占用更多的资源，降低工作效率
  
• 3.10.9. 确保风险评估和补救工作流程之间有明确的联系
  
• 3.10.9.1. 扫描将导致关于系统的大量信息
  
• 3.10.9.2. 如果没有实际的补救措施来解决已发现的漏洞，这些信息就不重要了
  
• 3.10.9.3. 将评估和补救联系起来的过程就是工作流
  
• 3.10.9.4. 每个组织都有独特的工作流，包括评估后启动补救工作的特定预定流程
  
• 3.10.9.5. 定期检查漏洞管理程序，以确保其按预期工作
  
• 3.10.9.6. 定期审查正在使用的策略是至关重要的，因为它们可以帮助你避免自满情绪，这种自满情绪可能会蔓延，并导致你不更新正在使用的策略这样将跟不上不断变化的趋势
  

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！