互聯(lián)網(wǎng)連接了全球越來越多的設(shè)備和系統(tǒng)。這已將系統(tǒng)引向網(wǎng)絡(luò)安全。網(wǎng)絡(luò)攻擊者和黑帽黑客可以入侵系統(tǒng)以增加網(wǎng)絡(luò)盜竊的風(fēng)險(xiǎn)，并且漏洞比以往任何時(shí)候都嚴(yán)重，因此需要漏洞管理。軟件漏洞一般是入侵者所具有的網(wǎng)絡(luò)安全防護(hù)不一致。他們逐漸利用這些不一致來妥協(xié)結(jié)構(gòu)，并將罷工從低價(jià)值資源轉(zhuǎn)移到高價(jià)值資產(chǎn)。

弱點(diǎn)通常是計(jì)算機(jī)代碼不準(zhǔn)確，允許攻擊者將惡意代碼注入系統(tǒng)以發(fā)起攻擊。這是一個(gè)廣泛的類別，但通常與網(wǎng)絡(luò)威脅領(lǐng)域的生產(chǎn)實(shí)踐相關(guān)聯(lián)。

因此，系統(tǒng)和在其上運(yùn)行的軟件容易受到網(wǎng)絡(luò)威脅。此類網(wǎng)絡(luò)安全威脅的識別、評估、處理和報(bào)告稱為漏洞管理。漏洞掃描對于組織將網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)降至最低至關(guān)重要。應(yīng)定期運(yùn)行漏洞管理流程，以及時(shí)了解系統(tǒng)漏洞并確保所有系統(tǒng)信息的安全。

漏洞管理的一般流程

漏洞管理有四個(gè)必要的步驟。這些標(biāo)識為：

1. 系統(tǒng)/軟件漏洞識別

漏洞掃描器用于掃描連接到網(wǎng)絡(luò)的各種系統(tǒng)。掃描后，將系統(tǒng)信息與已知漏洞進(jìn)行比較。為此，掃描器使用了一個(gè)漏洞數(shù)據(jù)庫，其中列出了眾所周知的漏洞。還有其他識別威脅的方法。然后評估在識別漏洞之后處理的系統(tǒng)信息。

2. 系統(tǒng)/軟件漏洞評估

使用通用漏洞評分系統(tǒng) (CVSS) 評估具有已識別漏洞的已處理系統(tǒng)信息。這些分?jǐn)?shù)有助于找出對系統(tǒng)構(gòu)成最大威脅的漏洞。與任何其他安全流程一樣，弱點(diǎn)評估也可能給出錯(cuò)誤的分?jǐn)?shù)。機(jī)會很低，但大于零。

3. 系統(tǒng)/軟件漏洞的處理

隔離重要的脆弱區(qū)域后，需要對其進(jìn)行充分處理以切斷攻擊風(fēng)險(xiǎn)。可以通過三種方式進(jìn)行治療。

• 徹底修復(fù)漏洞。
• 減少來自脆弱區(qū)域的攻擊風(fēng)險(xiǎn)，但不能完全治愈它。
• 不采取任何措施來糾正系統(tǒng)的敏感區(qū)域，因?yàn)轱L(fēng)險(xiǎn)級別很低。

4. 系統(tǒng)/軟件漏洞報(bào)告

對漏洞管理過程進(jìn)行報(bào)告是必不可少的。它記錄了用于修復(fù)漏洞的方法。這份報(bào)告可以作為參考，減少該系統(tǒng)未來漏洞處理的時(shí)間。通過維護(hù)一份全面的報(bào)告，員工的工作量也會減少，因?yàn)樗麄冎雷约旱木唧w角色并可以相應(yīng)地采取行動。

漏洞管理與漏洞評估之間的區(qū)別

• 漏洞評估是漏洞管理的一個(gè)子集。從本質(zhì)上講，它不僅僅是一種掃描機(jī)制。組織通過聘請分析系統(tǒng)狀態(tài)和風(fēng)險(xiǎn)級別的系統(tǒng)信息安全顧問來評估系統(tǒng)漏洞。
• 漏洞評估是一個(gè)一次性的項(xiàng)目，它指出潛在的系統(tǒng)漏洞并做出詳細(xì)的報(bào)告。該報(bào)告包含有關(guān)安全威脅識別的信息，并列出了處理系統(tǒng)易受攻擊區(qū)域的推薦方法。漏洞評估過程到此結(jié)束。
• 漏洞管理是一個(gè)持續(xù)識別、評估、處理和報(bào)告系統(tǒng)/軟件漏洞的過程。漏洞管理過程比僅對其進(jìn)行評估更有益。
• 漏洞評估并不治愈或治療系統(tǒng)的漏洞，而只是推薦修復(fù)它們的方法。評估不會降低系統(tǒng)受到網(wǎng)絡(luò)攻擊的可能性或威脅。

另一方面，漏洞管理處理系統(tǒng)漏洞并使系統(tǒng)安全可靠（或至少不易受攻擊）

1. 漏洞管理是一個(gè)更廣泛的過程（包括漏洞評估）。它有四個(gè)主要步驟——

• 識別系統(tǒng)和軟件漏洞
• 系統(tǒng)和軟件漏洞的評估和評價(jià)
• 系統(tǒng)和軟件漏洞的處理
• 報(bào)告系統(tǒng)和軟件漏洞

2. 上一節(jié)（漏洞管理的一般流程）中已經(jīng)討論了四個(gè)主要步驟。

3. 漏洞評估是第一步和第二步（漏洞識別和評估）的一部分。

創(chuàng)建出色的漏洞管理策略的重要提示

做一個(gè)漏洞知識庫

全面的管理計(jì)劃必須從維護(hù)已知的常見漏洞和風(fēng)險(xiǎn)的當(dāng)前知識開始。您必須確保設(shè)置保護(hù)部門以提供每日 CVE 警告。要實(shí)施此信息，您仍然需要完整的資產(chǎn)庫存，當(dāng)然，這些資產(chǎn)將包含其產(chǎn)品生命周期內(nèi)的信息資源。這個(gè)資產(chǎn)指標(biāo)要全面、全面。缺少端點(diǎn)可能會使整個(gè)策略失敗。

映射過程知識

在創(chuàng)建知識庫期間收集的信息清單必須進(jìn)一步提升為映射練習(xí)，以找出漏洞。需要創(chuàng)建一份綜合文檔來幫助制定穩(wěn)健的漏洞管理策略。

信任該類型的工具

使用完美的工具有助于使過程更順暢。它將有助于有效地處理和消除惡意軟件帶來的未來和現(xiàn)在的威脅。使用全面的漏洞掃描器是朝著有效降低風(fēng)險(xiǎn)邁出的一步，但不是全部。它是一種檢查系統(tǒng)缺陷的計(jì)算機(jī)化方法，通常使用專門的搜索工具。搜索應(yīng)檢查已確定的弱點(diǎn)。除了掃描漏洞，您還可以使用滲透測試。滲透測試可以更全面地了解潛在缺陷。

處理調(diào)查結(jié)果

漏洞評估之后是報(bào)告和補(bǔ)救階段。報(bào)告任務(wù)幫助項(xiàng)目管理員確定系統(tǒng)的當(dāng)前安全狀態(tài)和仍然不安全的地方，并將其標(biāo)記給負(fù)責(zé)人。報(bào)告通常會為管理者提供一些具體的東西，以便他們可以將其與公司的潛在發(fā)展道路聯(lián)系起來。報(bào)告通常發(fā)生在補(bǔ)救之前，以便在漏洞管理過程中收集的所有知識都能順利遷移到這一點(diǎn)。

補(bǔ)救通過提供對已知風(fēng)險(xiǎn)和弱點(diǎn)的響應(yīng)來補(bǔ)充這一點(diǎn)。所有受感染的計(jì)算機(jī)、服務(wù)器和網(wǎng)絡(luò)設(shè)備都受到監(jiān)控，并采取必要的措施來消除錯(cuò)誤并保護(hù)它們免受潛在的攻擊。這是漏洞管理方法最關(guān)鍵的方面，如果執(zhí)行得當(dāng)，該策略就被認(rèn)為是成功的。

讓這個(gè)策略成為你的習(xí)慣

漏洞管理策略將必須根據(jù)網(wǎng)絡(luò)黑客使用的不斷變化的現(xiàn)代技術(shù)而發(fā)展，以提供長期保護(hù)。程序配置是使用了解如何成功運(yùn)行漏洞管理程序的最高效掃描工具和專業(yè)服務(wù)的優(yōu)勢之一。

漏洞策略的重要元素

人們

從事漏洞管理策略工作的員工應(yīng)該在溝通技巧方面得到證明，能夠與不同的業(yè)務(wù)人員和管理層進(jìn)行協(xié)調(diào)。他們應(yīng)該對漏洞及其影響功能的方式有廣泛的了解。

過程

每個(gè)人都可以進(jìn)行安全評估。然而，足夠熟練地設(shè)置和遵循流程以使掃描數(shù)據(jù)可用是為組織增加價(jià)值的因素。該方法必須是可重復(fù)的和精確的，特別是如果要對已確定問題的補(bǔ)救的重要性做出決定。

技術(shù)

使用更新且易于使用的技術(shù)不僅有助于掃描漏洞。所使用的工具也可用于創(chuàng)建資產(chǎn)數(shù)據(jù)庫和票務(wù)系統(tǒng)。

結(jié)論

最佳的漏洞管理系統(tǒng)將確保您的數(shù)據(jù)在這個(gè)競爭激烈的世界中保持安全，即使是大型企業(yè)也容易受到網(wǎng)絡(luò)攻擊。本文介紹了如何使用滲透測試和漏洞評估工具設(shè)置漏洞管理流程。許多組織沒有時(shí)間自行管理，建議與供應(yīng)商合作，這些供應(yīng)商除了提供安全評估外，還提供托管服務(wù)、報(bào)告、24×7 以及補(bǔ)救指南和補(bǔ)救措施以及已識別的漏洞。托管WAF服務(wù)，例如AppTrana將所有這些方面捆綁在一項(xiàng)服務(wù)中，以便為您的應(yīng)用程序持續(xù)獲得全面的漏洞管理程序和風(fēng)險(xiǎn)緩解。它進(jìn)一步提到了簡化和流暢工作流程所需的不同維度。在這些建議的幫助下，您將能夠保護(hù)您的公司并登上商業(yè)行業(yè)的頂峰。