正確評估漏洞對于通過漏洞管理計劃實現網絡安全目標至關重要。漏洞評估清單是一種實用的解決方案，可確保評估過程一致且徹底，并將遺漏重要漏洞的風險降至最低。

什么是漏洞評估？

漏洞評估是一個綜合過程，通過它可以突出系統、應用程序和網絡中的固有弱點和安全漏洞。漏洞評估工具包括Web漏洞掃描器、網絡掃描軟件、協議掃描器、評估軟件、手動滲透測試等。

脆弱性評估涉及：

• 掃描應用程序及其各種組件
• 主動識別漏洞
• 評估成功利用每個漏洞的嚴重性和潛在影響

掃描之后進行測試以模擬攻擊并了解攻擊者如何利用漏洞。根據調查結果，安全/IT/開發團隊可以確定關鍵漏洞的優先級并專注于修復它們。

15 關鍵點漏洞評估清單

評估前

1. 選擇正確的漏洞評估工具

為使評估全面且其見解對漏洞管理有用，您必須選擇正確的評估工具集。

• 在選擇正確的工具時，您必須從您獨特的業務和應用程序/網站環境和需求開始。
• 根據這些獨特的需求和環境比較這些工具的功能，以及您的實時/準實時應用程序的演示/試用版評估結果。
• 選擇一種工具來檢測和評估基礎架構中的各種漏洞，以確保全面覆蓋。
• 利用掃描自動化的力量，因為它可以以快速的方式覆蓋大面積的區域，并將錯誤范圍降至最低。
• 結合人類智慧和專業知識的力量，進行滲透測試、安全審計、設計修復等。
• 選擇一套智能、全面且受管理的工具，這些工具可以根據您不斷變化的需求進行定制和持續調整，并且其報告是即時的，洞察力可付諸行動。
• 一些漏洞評估工具可能會產生誤報或漏報，這可能會產生誤導，而且補救起來很費時。選擇高精度的工具可以幫助您更有效地確定漏洞的優先級并修復漏洞。

2.定義要評估的資產

評估必須有計劃，不能是臨時的。識別并映射您的所有數字資產、系統、關聯和第三方系統、流程、IT 基礎設施、設備、應用程序、服務器、數據庫、內容管理系統、開發框架、端口等。并收集有關網絡基礎設施的所有可能信息，以全面了解您企業的 IT 資產以及每項資產的重要性。必須識別所有連接到網絡并可能容易受到攻擊的資產。確定資產后，確定評估中包括哪些系統和應用程序很重要。這可能包括攻擊者最有可能瞄準的關鍵系統和應用程序。

3. 確定脆弱性評估的范圍和目標

為評估的每個組成部分整合一組正確定義的目標、范圍和預期結果。制作威脅模型并確定掃描、測試等目標區域，以確定應用程序中的最大數量的關鍵漏洞。

4.確定要評估的漏洞類型

根據您組織的風險狀況和合規性要求確定將評估哪些漏洞很重要。確定將要評估的漏洞可以幫助您確定工作和資源的優先順序，以解決最重大的安全風險。有多種常見的安全風險、攻擊類型和漏洞可能會損害您的系統。以下是一些最常見的示例：

• 惡意軟件
• 網絡釣魚
• 拒絕服務 (DoS) 攻擊
• SQL注入
• 跨站點腳本 (XSS)
• 中間人 (MITM) 攻擊
• 未打補丁的軟件
• 弱密碼或不安全密碼
• 內部威脅

5. 定義脆弱性評估方法

應定義評估方法，以確保評估始終如一地根據最佳實踐進行。該方法涉及一系列步驟，以全面分析您組織的安全狀況并識別攻擊者可能利用的潛在漏洞。

以下是漏洞評估方法中涉及的典型步驟：

• 確定關鍵和有吸引力的資產
• 進行漏洞評估
• 漏洞分析和風險評估
• 整治
• 通過改進重新評估系統
• 報告結果

6.確定要授予的訪問級別

授予評估團隊的訪問級別應根據被評估的系統和應用程序來確定。例如，評估團隊可能需要對某些系統進行管理訪問才能進行全面評估。

7. 確定任何合規要求

合規性要求可能會規定評估的范圍和目標。例如，高度監管行業的組織可能需要更頻繁地進行評估或滿足特定標準，例如 PCI DSS 或 HIPAA。

8. 確定評估頻率

漏洞評估清單中的一個重要考慮因素。評估的頻率應根據組織的風險概況和合規要求來確定。必須每天以及在任何重大業務/應用程序/網絡更改后進行漏洞掃描，而不會影響您的應用程序或網絡的速度?；谠频娜?、自動化、可定制和智能的解決方案可以很好地發現各種已知漏洞。手動滲透測試和安全審計中的漏洞測試必須每季度安排一次，以有效識別未知漏洞、業務邏輯缺陷、錯誤配置以及自動掃描工具遺漏的其他弱點。

評估期間

9. 進行漏洞掃描

漏洞掃描是評估過程的第一步。它涉及使用自動化工具來識別組織的 IT 基礎架構和應用程序中的漏洞。掃描將生成一份報告，其中概述發現的任何漏洞以及緩解或消除這些漏洞的建議。

定期進行漏洞掃描很重要，因為攻擊者會不斷發現和利用新漏洞。通過定期進行漏洞掃描，您可以掌握任何潛在的安全風險，并在它們被利用之前采取措施緩解它們。

10. 進行手動筆測試

雖然漏洞掃描工具可以識別組織系統、應用程序和網絡中的潛在漏洞，但它們無法準確評估每個漏洞的嚴重性和潛在影響。手動滲透測試可以通過測試自動化工具可能遺漏的漏洞，幫助對組織的安全狀況進行更全面的分析。

在漏洞評估過程中，您必須過濾掉誤報，因為這些會導致浪費您寶貴的資源，包括時間和金錢。您還必須在評估過程中創建證據和概念證明。手動滲透測試還可以幫助您驗證漏洞掃描結果的準確性，方法是對識別出的漏洞進行測試，以確定它們是否有效和可利用。

11.分析漏洞并確定優先級

應對漏洞掃描和手動測試的結果進行分析，以確定每個漏洞的嚴重性和被利用的可能性。應根據漏洞的嚴重性和利用的可能性對漏洞進行優先級排序。應首先解決可能被利用的高嚴重性漏洞。

漏洞的嚴重程度通常由以下因素決定

• 如果攻擊者成功利用漏洞，他們將獲得的訪問級別或特權
• 易于利用
• 對組織資產或數據的潛在影響

例如，允許攻擊者獲得對關鍵系統的管理訪問權限的漏洞將被認為比允許他們查看敏感信息的漏洞更嚴重。

剝削的可能性取決于以下因素

• 系統或應用程序的受歡迎程度
• 利用漏洞所需的訪問級別
• 漏洞利用工具或技術的可用性

影響廣泛使用的應用程序并且在公共域中具有可用漏洞利用的漏洞比影響不太流行的應用程序并且需要高級技術技能才能利用的漏洞更有可能被利用。

評估后

12.報告調查結果

評估結果應記錄在報告中并與主要利益相關者共享。該報告應包括執行摘要、已識別漏洞的詳細信息以及補救建議。

13.制定補救計劃

補救計劃應解決評估期間發現的漏洞。該計劃應包括補救時間表并確定解決漏洞所需的資源。

14. 實施補救

應按整治計劃實施整治。這可能涉及應用補丁、更新配置或實施新的安全控制。

15. 進行后續評估

應進行后續評估以確保已修復漏洞并且未引入新的漏洞。