漏洞管理是 IT 风险管理的一个子领域,是对组织 IT 基础架构和软件中的安全漏洞进行持续发现、确定优先级和解决的过程。
安全漏洞是网络或联网资产的结构、功能或实施中的任何缺陷或弱点,黑客可以利用这些缺陷或弱点发起网络攻击、未经授权访问系统或数据或以其他方式损害组织。
常见漏洞的示例包括:防火墙配置错误,可能允许某些类型的恶意软件进入网络;或者操作系统远程桌面协议中存在未修补漏洞,可能允许黑客接管设备。
当今的企业网络分布广泛,每天都会发现各种新漏洞,因此几乎不可能进行有效的人工或临时漏洞管理。网络安全团队通常依靠漏洞管理解决方案来实现流程自动化。
互联网安全中心 (CIS) 将持续漏洞管理列为关键安全控制(ibm.com 外部链接)之一,以防御最常见的网络攻击。漏洞管理使 IT 安全团队能够在漏洞被利用之前识别并解决漏洞,从而建立更主动的安全状况。
根据 IBM Security X-Force Threat Intelligence 指数获取洞察,以更快且更有效地准备和应对网络攻击。
注册获取《数据泄露成本报告》
由于新的漏洞可能随时出现,因此安全团队应将漏洞管理作为一个持续生命周期,而不是一个离散事件。该生命周期包括五个持续且重叠的工作流:发现、分类和确定优先级、解决、重新评估和报告。
1. 发现
发现工作流以漏洞评估为中心,漏洞评估是指检查组织所有 IT 资产是否存在已知和潜在漏洞的过程。通常,安全团队使用漏洞扫描程序软件自动执行此过程。一些漏洞扫描程序会定期执行全面的网络扫描,而另一些漏洞扫描程序则使用笔记本电脑、路由器和其他端点上安装的代理来收集每个设备上数据。安全团队还可以利用渗透测试等偶发性漏洞评估,找出扫描程序无法发现的漏洞。
2. 分类和确定优先级
一旦发现漏洞,就会按类型进行分类(例如,设备配置错误、加密问题、敏感数据暴露),并按严重程度确定优先级。此过程对每个漏洞的严重性、可利用性以及遭受攻击的可能性进行评估。
漏洞管理解决方案通常利用威胁情报来源,例如通用漏洞评分系统 (CVSS),这是一种开放式网络安全行业标准,按照 0 到 10 的等级对已知漏洞的严重性进行评分。另外两个流行的情报来源是 MITRE 的常见漏洞和暴露 (CVE) 列表和 NIST 的国家漏洞数据库 (NVD)。
3. 解决
确定漏洞优先级后,安全团队可以通过以下三种方式之一予以解决:
- 补救 – 彻底解决漏洞,使其无法再被利用,例如安装补丁修复软件漏洞或淘汰易受攻击的资产。许多漏洞管理平台都提供修复工具,例如用于自动下载和测试补丁的补丁管理,以及用于从中央仪表板或门户处理网络和设备配置错误的配置管理。
- 缓解 – 在不完全消除漏洞的情况下,增加利用漏洞的难度,减轻利用漏洞的影响。让易受攻击的设备保持联机状态,但将其与网络的其余部分隔离开来,这就是一种缓解措施。当还没有补丁或其他修复手段时,通常会采用缓解措施。
- 接受 – 选择不处理漏洞。严重程度评分较低的漏洞,即不太可能被利用或不太可能造成重大损失的漏洞,通常会被接受。
4. 重新评估
当漏洞得到解决后,安全团队会进行新的漏洞评估,以确保他们的缓解或修复措施有效并且不会引入任何新的漏洞。
5. 报告
漏洞管理平台通常提供仪表板,用于报告平均检测时间 (MTTD) 和平均响应时间 (MTTR) 等指标。许多解决方案还维护已识别漏洞的数据库,使安全团队能够跟踪已识别漏洞的解决情况,并审核过去的漏洞管理工作。
这些报告功能使安全团队能够为正在进行的漏洞管理活动建立基线,并随着时间的推移监控计划性能。报告还可用于在安全团队和其他 IT 团队之间共享信息,这些 IT 团队可能负责管理资产,但不直接参与漏洞管理过程。
基于风险的漏洞管理 (RBVM) 是一种相对较新的漏洞管理方法。RVBM 将利益相关者特定的漏洞数据与人工智能和机器学习功能相结合,以三种重要方式加强漏洞管理。
为更有效地确定优先级提供更多背景信息。传统的漏洞管理解决方案通过使用 CVSS 或 NIST NVD 等行业标准资源来确定严重程度。这些资源依赖于一般情况,可以确定所有组织中某一漏洞的平均严重程度。但是,它们缺乏利益相关者特定的漏洞数据,因此可能导致某一漏洞对于特定公司的严重程度优先级过高或过低,从而造成危险。
例如,由于没有安全团队有时间或资源来解决网络中的每个漏洞,因此许多安全团队会优先处理 CVSS 评分为“高”(7.0-8.9) 或“严重”(9.0-10.0) 的漏洞。但是,如果资产中存在“严重”漏洞,而该资产不存储或处理任何敏感信息,或者没有提供通往网络高价值段的途径,则可能不值得进行修复。
CVSS 分数较低的漏洞对某些组织的威胁可能比其他组织更大。Heartbleed 漏洞于 2014 年发现,按照 CVSS 评分标准被评为“中等”(5.0)(ibm.com 外部链接)。即便如此,黑客还是利用它发动了大规模攻击,例如从美国最大的连锁医院之一窃取了 450 万患者的数据(ibm.com 外部链接)。
RBVM 利用利益相关者特定的漏洞数据(受影响资产的数量和严重程度、受影响资产与其他资产的关联程度、漏洞可能造成的潜在损害)以及网络罪犯如何与真实世界中的漏洞交互的数据来完善评分。它使用机器学习制定风险评分,更准确地反映每个漏洞对组织的具体风险。这使 IT 安全团队能够在不牺牲网络安全的情况下优先处理数量较少的关键漏洞。
实时发现。在 RBVM 中,漏洞扫描通常是实时进行的,而不是按照定期计划进行。此外,RBVM 解决方案可以监控更广泛的资产:传统的漏洞扫描程序通常仅限于直接连接到网络的已知资产,而 RBVM 工具通常可以扫描本地和远程移动设备、云资产、第三方应用程序和其他资源。
自动重新评估。在 RBVM 流程中,可以通过持续漏洞扫描来自动执行重新评估。在传统的漏洞管理中,重新评估可能需要进行有意的网络扫描或渗透测试。
漏洞管理与攻击面管理 (ASM) 密切相关。ASM 持续发现、分析、修复和监控构成组织攻击面的漏洞和潜在攻击媒介。ASM 与漏洞管理的核心区别在于范围不同。虽然这两个流程都监控并解决组织资产中的漏洞,但 ASM 采取更全面的网络安全方法。
ASM 解决方案包括资产发现功能,可识别和监控连接到网络的所有已知、未知、第三方、子公司和恶意资产。ASM 还扩展到 IT 资产之外,以识别组织的物理和社会工程攻击面中的漏洞。然后,它从黑客的角度分析这些资产和漏洞,以了解网络罪犯如何利用它们渗透到网络中。
随着基于风险的漏洞管理 (RBVM) 的兴起,漏洞管理和 ASM 之间的界限变得越来越模糊。组织通常将 ASM 平台部署为 RBVM 解决方案的一部分,因为 ASM 提供的攻击面视图比单独的漏洞管理更全面。