漏洞评估

漏洞评估的目的是对环境中与资产相关的安全弱点进行风险识别和分类。值得注意的是,在漏洞评估过程中几乎不需要人工利用漏洞评估还提供修复问题的补救步骤。

漏洞评估的目的是了解、识别和归类环境中存在的较明显问题的风险,而不是实际利用这些问题来获得进一步的访问权。根据评估的范围,一些客户可能会要求我们通过执行最小入侵性利用来验证尽可能多的漏洞,以确认扫描仪的发现并排除误报。其他客户则会要求我们提供扫描仪发现的所有结果的报告。与任何评估一样,在开始之前明确漏洞评估的范围和目的至关重要。漏洞管理对于帮助企业识别其资产中的薄弱点、了解风险水平、计算补救措施并确定其优先级至关重要。

还需要注意的是,企业在将大量补丁推送到环境中之前,应始终对其进行测试,以防止出现中断。

方法

以下是大多数组织都可以遵循并取得成功的漏洞评估方法示例。不同组织的方法可能略有不同,但此图表涵盖了从识别资产到创建补救计划的主要步骤。

了解关键术语

在进一步讨论之前,让我们先确定任何 IT 或信息安全专业人员都应该理解并能够清楚解释的一些关键术语。

漏洞(Vulnerability

漏洞是组织环境(包括应用程序、网络和基础设施)中的一个薄弱环节或漏洞,可能会受到外部行为者的威胁。漏洞可通过 MITRE 的通用漏洞暴露数据库进行注册,并获得通用漏洞评分系统 (CVSS)分数以确定严重程度。该评分系统经常被用作公司和政府的标准,以便为其系统漏洞计算准确一致的严重性分数。以这种方式对漏洞进行评分有助于确定资源的优先级,并决定如何应对特定威胁。计算分数时使用的指标包括攻击向量类型(网络、邻近、本地、物理)、攻击复杂性、所需权限、攻击是否需要用户交互,以及成功利用对组织数据的保密性、完整性和可用性的影响。根据这些指标,评分范围从 0 到 10。

例如,SQL 注入被认为是一种漏洞,因为攻击者可以利用查询从组织的数据库中提取数据。如果攻击者无需通过互联网进行身份验证即可执行此攻击,那么与攻击者需要对内部网络进行身份验证访问并对目标应用程序进行单独身份验证相比,该攻击将具有更高的 CVSS 评分。对于我们遇到的所有漏洞,都必须考虑这些类型的事情。

威胁(Threat

威胁是一个过程,它扩大了不利事件的可能性,如威胁行为者利用漏洞。由于漏洞被利用的概率不同,有些漏洞比其他漏洞更容易引发威胁。例如,结果的回报越高,越容易被利用,该问题就越有可能被威胁行为者利用。

利用(Exploit

漏洞利用是指可用于利用资产弱点的任何代码或资源。许多漏洞利用程序可通过 Exploit-dbthe Rapid7 Vulnerability and Exploit Database等开源平台获取。我们还经常可以在 GitHub 和 GitLab 等网站上看到漏洞利用代码。

风险(Risk

风险是资产或数据被威胁行为者损害或破坏的可能性。

为了区分这三者,我们可以这样想:

  • Risk: 可能会发生一些不好的事情

  • Threat: 发生了一些不好的事情

  • Vulnerabilities:可能导致威胁的弱点

漏洞、威胁和漏洞通过确定可能性和影响来衡量弱点的风险级别。例如,具有可靠的利用代码并且可能被用来访问组织网络的漏洞将显着增加由于影响而出现问题的风险。如果攻击者有权访问内部网络,他们可能会查看、编辑或删除对业务运营至关重要的敏感文档。我们可以使用定性风险矩阵来根据可能性和影响来衡量风险,如下表所示。

资产管理

任何行业、任何规模的任何类型的组织在需要规划其网络安全战略时,都应首先创建一份数据资产(data assets)清单。如果要保护某些东西,首先必须知道要保护什么!清点资产后,就可以开始资产管理(assets management)过程。这是防御性安全的一个关键概念。

资产盘点

资产清单(assets inventory)是漏洞管理的重要组成部分。组织需要了解其网络中有哪些资产,以提供适当的保护并设置适当的防御措施。资产清单应包括信息技术、操作技术、物理、软件、移动和开发资产。企业可以利用资产管理工具来跟踪资产。资产应有数据分类,以确保适当的安全和访问控制。

应用程序和系统清单

组织应创建彻底且完整的数据资产清单,以便进行适当的资产管理以实现防御安全。数据资产包括:

  • 内部存储的所有数据。终端(个人电脑和移动设备)中的硬盘和固态硬盘、服务器中的硬盘和固态硬盘、本地网络中的外置硬盘、光学介质(DVD、蓝光光盘、CD)、闪存介质(U 盘、SD 卡)。传统技术可能包括软盘、ZIP 驱动器(20 世纪 90 年代的遗物)和磁带驱动器。

  • 云提供商拥有的所有数据存储。 Amazon Web Services(AWS)Google Cloud Platform(GCP)Microsoft Azure是最受欢迎的云提供商,但还有更多。有时,企业网络是 "多云 "的,这意味着它们拥有不止一个云提供商。公司的云提供商将提供可用于清查该特定云提供商存储的所有数据的工具。

  • 存储在各种软件即服务 (SaaS) 应用程序中的所有数据。这些数据也 "在云中",但可能并不都在企业云提供商账户的范围内。这些通常是消费者服务或这些服务的 "企业 "版本。例如 Google DriveDropboxMicrosoft TeamsApple iCloudAdobe Creative SuiteMicrosoft Office 365Google Docs 等在线服务。

  • 公司开展日常运营和业务所需的所有应用程序。包括本地部署的应用程序和通过云部署的应用程序或其他 "软件即服务"(Software-as-a-Service)应用程序。

  • 公司内部的所有计算机网络设备。这些设备包括但不限于路由器(routers)防火墙(firewall)集线器(hubs)交换机(switches)、专用入侵检测和防御系统 (IDS/IPS)数据丢失防护 (DLP) 系统等。

所有这些资产都非常重要。威胁行为者或对这些资产的任何其他类型的风险都可能对公司的信息安全和日常运营能力造成重大损害。组织需要花时间评估一切,并小心不要错过任何一个数据资产,否则他们将无法保护它。

企业经常添加或删除计算机、数据存储、云服务器容量或其他数据资产。无论何时添加或删除数据资产,都必须在数据资产清单中详细记录。

上一页安全评估下一页FTP - File Transfer Protocol

最后更新于

这有帮助吗?