最新公告
  • 欢迎您光临站壳网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 漏洞管理项目优秀实践

    正文概述 webmaster   2019-11-22   516

    若建立在可满足所有利益相关者信息需求的成熟基本目标之上,若其输出能够绑定企业目标,若能够减少企业的总体风险,那么企业的漏洞管理项目就能发挥出其全部潜力。

    漏洞管理项目优秀实践

    此类漏洞管理技术能够检测风险,但需要人与过程的基础以确保项目成功。

    漏洞管理项目有四个阶段:

    1. 确定资产关键性、资产拥有者、扫描频率,以及确立修复时间线;

    2. 发现网络上的资产,并建立清单;

    3. 识别已发现资产中的漏洞;

    4. 报告并修复已识别漏洞。

    第一阶段关注可衡量、可重复过程的建立。第二阶段就第一阶段的四个重点执行该过程,着重持续改进。下面我们详细分析这几个阶段。

    第一阶段:漏洞扫描过程

    此阶段中的第一步是确定企业中资产的关键性

    想要构建有效风险管理项目,必须首先确定企业中哪些资产需要保护。这适用于企业网络上的计算系统、存储设备、网络、数据类型和第三方系统。资产应分类,并根据其对企业的真正固有风险加以排序。

    资产固有风险评分应考虑很多方面,比如对更高级别资产的物理或逻辑连接、用户访问及系统可用性。

    举个例子,隔离区中享有账户数据库逻辑访问权的资产,其关键性就比实验室中的资产高。相比测试环境,生产环境中的资产享有更高的关键性。互联网可路由 Web 服务器比内部文件服务器更关键。

    然而,即便关键性较低的资产,其修复也不容忽视。攻击者可利用这些常被忽视的资产获取访问权,然后在网络中巡游,入侵多个系统,直至入手存放敏感数据的系统。修复工作应总是基于整体风险相关性。

    第二步是识别每个系统的拥有者

    系统拥有者全权负责该资产、其相关风险和被黑后的责任。这一步对于漏洞管理项目的成功十分关键,因为驱动着企业内的问责和修复工作。

    如果没人承担风险,就没人推动该风险的缓解。

    第三步是确定扫描频率

    互联网安全中心在其 Top 20 关键安全控制中建议,公司企业应 “以每周一次或更频繁的频率,对其网络上的所有系统执行自动化漏洞扫描”。网络安全厂商 Tripwire 每周发布一次漏洞特征 (ASPL)。

    频繁扫描使漏洞使资产拥有者能够跟踪修复工作进展,发现新的风险,并基于新收集的情报重新排序漏洞修复。

    漏洞公布之初可能会因没有已知漏洞利用程序而漏洞评分较低。一旦漏洞面世一段时间,自动化漏洞利用工具包就可能出现,也就会增加该漏洞的风险。脆弱系统可能会因新安装软件或补丁回滚而易受一个或一组漏洞的影响。

    很多因素可能影响资产更改的风险态势。频繁扫描确保资产拥有者紧跟新信息。最底线,漏洞扫描频率应不低于每月一次。

    建立该过程的第四步是确立和记录修复的时间线及阈值

    可以自动化方式利用,可赋予攻击者特权控制的漏洞,应当立即修复。提供更难利用的特权控制,或目前仅在理论上可利用的漏洞,应在 30 天内修复。危险程度更低的漏洞应当在 90 天内修复。

    系统拥有者无法在恰当时间框架内修复漏洞的情况下,应可应用修复异常过程。

    该过程应记录下系统拥有者对此风险的理解与接受情况,并设置在某一日期前修复该漏洞的可接受行动计划。有效期是漏洞异常的必备元素。

    第二阶段:资产发现与清单建立

    资产发现与清单建立位列关键安全控制的第一和第二位。这是任何安全项目的基础——无论是信息安全还是其他安全,因为防御者无法保护自己不知道的东西。

    首要关键安全控制是拥有网络上所有已授权和未授权设备的清单。次要关键安全控制是拥有企业网络中资产上安装的已授权和未授权软件的清单。

    这两个关键安全控制相辅相成,因为攻击者总试图发现可容易利用的系统以进入企业网络。一旦进入网络,攻击者便可利用其在此系统上的控制权攻击其他系统,进一步渗透此网络

    确保信息安全团队知晓网络上都有些什么,可以使他们更好地保护这些系统,并为这些系统的拥有者提供指导,减少这些资产面临的风险。

    用户部署了系统却未通告信息安全团队的情况非常常见,从测试服务器到员工桌下为了方便而设置的无线路由器等等。如果缺乏恰当的资产发现和网络访问控制,此类设备可为攻击者打开进入内部网络的方便之门。

    在确定范围内执行资产发现,并在执行漏洞扫描前识别这些已发现资产上运行着哪些应用。

    第三阶段:漏洞检测

    发现了网络上所有资产后,下一步就是识别每个资产的漏洞风险状态。

    可通过未经身份验证或经验证的扫描发现漏洞,或者部署代理以确定漏洞状态。攻击者通常会以未经身份验证的扫描查看系统状态。因此,不带凭证的扫描将提供类似原始攻击者所看到的系统漏洞状态视图。

    未经身份验证的扫描有利于识别一些极高风险漏洞,此类漏洞可被攻击者远程检测并利用以获取系统的深层访问权。然而,总有一些漏洞是用户下载邮件附件或点击恶意链接就能利用的,用未经身份验证的扫描还检测不到。

    更为全面的漏洞扫描推荐方是经验证的扫描,或者部署代理。这种方法可以提升企业漏洞风险检测的准确性。经验证的扫描特定于资产发现与清单建立阶段检测出的操作系统和已安装应用,识别其上存在哪些漏洞。

    本地安装应用中的漏洞只能由这种方法检测。经验证的漏洞扫描还能识别攻击者可能从外部未经验证漏洞扫描中看到的那些漏洞。

    很多漏洞扫描器提供的漏洞状态结果仅检测补丁级别或应用版本。漏洞扫描工具应该提供更为详尽的分析,因为其漏洞特征码能够确定很多因素。比如脆弱库的移除、注册表键和(但不限于)应用修复是否需重启系统。

    第四阶段:报告与修复

    漏洞扫描完成后,每个漏洞都会由指数型算法基于三个因素给出漏洞评分:

    1. 利用该漏洞所需的技术;

    2. 成功漏洞利用所能获得的权限;

    3. 漏洞年龄。

    漏洞越容易利用,能获得的权限越高,风险评分就越高。除此之外,风险评分随漏洞年龄增长而增加。应考虑的首要指标是企业的总体基线平均风险评分。

    最成熟的企业其平均风险评分甚至更低,并且专注于解决风险评分高于 1,000 的每一个漏洞。应关注的下一个指标就是资产拥有者平均风险评分。

    资产所有权在第一阶段就已识别,因此,每个拥有者都应能够看到其资产的基线风险评分。与企业总体目标类似,每个拥有者应从平均风险评分每年递减 10% 到 25% 开始,直到评分低于企业可接受阈值。

    系统拥有者相互之间应能看到各自评分,进行对比以知悉自身所处位置。风险评分比较低的系统拥有者应受到奖励。

    为推动修复,系统拥有者需要实证漏洞数据以描述哪些漏洞应修复,以及如何执行修复的说明。报告应显示最脆弱的主机、风险评分比较高的漏洞和/或针对特定高危应用的报告。这样系统拥有者就可以合理排序修复工作,优先解决可很大限度降低企业风险的那些漏洞。

    随着新漏洞扫描的执行,新的指标可与之前扫描的指标做对比,显示风险趋势分析和修复进展。

    可用于跟踪修复情况的一些指标如下:

    • 拥有者每资产平均漏洞评分和总体平均漏洞评分如何?
    • 拥有者修复基础设施漏洞平均耗时和总体修复平均耗时有多长?
    • 拥有者修复应用漏洞平均耗时和总体修复平均耗时有多长?
    • 最近未接受漏洞扫描的资产占比多少?
    • 系统上暴露了多少提供特权访问的远程可利用漏洞?

    项目构建初始阶段,企业平均漏洞评分很高、修复周期很长的现象并不罕见。关键在于逐月、逐季度、逐年进展。

    随着团队对此过程愈加熟悉,愈加了解攻击者带来的风险,企业风险评分和漏洞修复时间应会逐渐减少。

    漏洞与风险管理是个持续的过程。最成功的项目能够持续自适应,且与企业网络安全项目的风险减少目标相一致。应经常审查该过程,员工应紧跟信息安全较新的威胁与趋势。

    确保人员、过程与技术的持续发展,将保证企业漏洞与风险管理项目的成功。

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 漏洞管理项目优秀实践

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者
    • 590会员总数(位)
    • 4857资源总数(个)
    • 180本周发布(个)
    • 24 今日发布(个)
    • 181稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情