若建立在可滿足所有利益相關者信息需求的成熟基本目標之上，若其輸出能夠綁定企業(yè)目標，若能夠減少企業(yè)的總體風險，那么企業(yè)的漏洞管理項目就能發(fā)揮出其全部潛力。

此類漏洞管理技術能夠檢測風險，但需要人與過程的基礎以確保項目成功。

漏洞管理項目有四個階段：

• 確定資產關鍵性、資產擁有者、掃描頻率，以及確立修復時間線;
• 發(fā)現(xiàn)網絡上的資產，并建立清單;
• 識別已發(fā)現(xiàn)資產中的漏洞;
• 報告并修復已識別漏洞。

第一階段關注可衡量、可重復過程的建立。第二階段就第一階段的四個重點執(zhí)行該過程，著重持續(xù)改進。下面我們詳細分析這幾個階段。

第一階段：漏洞掃描過程

(1) 此階段中的第一步是確定企業(yè)中資產的關鍵性

想要構建有效風險管理項目，必須首先確定企業(yè)中哪些資產需要保護。這適用于企業(yè)網絡上的計算系統(tǒng)、存儲設備、網絡、數據類型和第三方系統(tǒng)。資產應分類，并根據其對企業(yè)的真正固有風險加以排序。

資產固有風險評分應考慮很多方面，比如對更高級別資產的物理或邏輯連接、用戶訪問及系統(tǒng)可用性。

舉個例子，隔離區(qū)中享有賬戶數據庫邏輯訪問權的資產，其關鍵性就比實驗室中的資產高。相比測試環(huán)境，生產環(huán)境中的資產享有更高的關鍵性?；ヂ?lián)網可路由 Web 服務器比內部文件服務器更關鍵。

然而，即便關鍵性較低的資產，其修復也不容忽視。攻擊者可利用這些常被忽視的資產獲取訪問權，然后在網絡中巡游，入侵多個系統(tǒng)，直至入手存放敏感數據的系統(tǒng)。修復工作應總是基于整體風險相關性。

(2) 第二步是識別每個系統(tǒng)的擁有者

系統(tǒng)擁有者全權負責該資產、其相關風險和被黑后的責任。這一步對于漏洞管理項目的成功十分關鍵，因為驅動著企業(yè)內的問責和修復工作。

如果沒人承擔風險，就沒人推動該風險的緩解。

(3) 第三步是確定掃描頻率

互聯(lián)網安全中心在其 Top 20 關鍵安全控制中建議，公司企業(yè)應 “以每周一次或更頻繁的頻率，對其網絡上的所有系統(tǒng)執(zhí)行自動化漏洞掃描”。網絡安全廠商 Tripwire 每周發(fā)布一次漏洞特征 (ASPL)。

頻繁掃描使漏洞使資產擁有者能夠跟蹤修復工作進展，發(fā)現(xiàn)新的風險，并基于新收集的情報重新排序漏洞修復。

漏洞公布之初可能會因沒有已知漏洞利用程序而漏洞評分較低。一旦漏洞面世一段時間，自動化漏洞利用工具包就可能出現(xiàn)，也就會增加該漏洞的風險。脆弱系統(tǒng)可能會因新安裝軟件或補丁回滾而易受一個或一組漏洞的影響。

很多因素可能影響資產更改的風險態(tài)勢。頻繁掃描確保資產擁有者緊跟最新信息。最底線，漏洞掃描頻率應不低于每月一次。

(4) 建立該過程的第四步是確立和記錄修復的時間線及閾值

可以自動化方式利用，可賦予攻擊者特權控制的漏洞，應當立即修復。提供更難利用的特權控制，或目前僅在理論上可利用的漏洞，應在 30 天內修復。危險程度更低的漏洞應當在 90 天內修復。

系統(tǒng)擁有者無法在恰當時間框架內修復漏洞的情況下，應可應用修復異常過程。

該過程應記錄下系統(tǒng)擁有者對此風險的理解與接受情況，并設置在某一日期前修復該漏洞的可接受行動計劃。有效期是漏洞異常的必備元素。

第二階段：資產發(fā)現(xiàn)與清單建立

資產發(fā)現(xiàn)與清單建立位列關鍵安全控制的第一和第二位。這是任何安全項目的基礎——無論是信息安全還是其他安全，因為防御者無法保護自己不知道的東西。

首要關鍵安全控制是擁有網絡上所有已授權和未授權設備的清單。次要關鍵安全控制是擁有企業(yè)網絡中資產上安裝的已授權和未授權軟件的清單。

這兩個關鍵安全控制相輔相成，因為攻擊者總試圖發(fā)現(xiàn)可容易利用的系統(tǒng)以進入企業(yè)網絡。一旦進入網絡，攻擊者便可利用其在此系統(tǒng)上的控制權攻擊其他系統(tǒng)，進一步滲透此網絡。

確保信息安全團隊知曉網絡上都有些什么，可以使他們更好地保護這些系統(tǒng)，并為這些系統(tǒng)的擁有者提供指導，減少這些資產面臨的風險。

用戶部署了系統(tǒng)卻未通告信息安全團隊的情況非常常見，從測試服務器到員工桌下為了方便而設置的無線路由器等等。如果缺乏恰當的資產發(fā)現(xiàn)和網絡訪問控制，此類設備可為攻擊者打開進入內部網絡的方便之門。

在確定范圍內執(zhí)行資產發(fā)現(xiàn)，并在執(zhí)行漏洞掃描前識別這些已發(fā)現(xiàn)資產上運行著哪些應用。

第三階段：漏洞檢測

發(fā)現(xiàn)了網絡上所有資產后，下一步就是識別每個資產的漏洞風險狀態(tài)。

可通過未經身份驗證或經驗證的掃描發(fā)現(xiàn)漏洞，或者部署代理以確定漏洞狀態(tài)。攻擊者通常會以未經身份驗證的掃描查看系統(tǒng)狀態(tài)。因此，不帶憑證的掃描將提供類似原始攻擊者所看到的系統(tǒng)漏洞狀態(tài)視圖。

未經身份驗證的掃描有利于識別一些極高風險漏洞，此類漏洞可被攻擊者遠程檢測并利用以獲取系統(tǒng)的深層訪問權。然而，總有一些漏洞是用戶下載郵件附件或點擊惡意鏈接就能利用的，用未經身份驗證的掃描還檢測不到。

更為全面的漏洞掃描推薦方是經驗證的掃描，或者部署代理。這種方法可以提升企業(yè)漏洞風險檢測的準確性。經驗證的掃描特定于資產發(fā)現(xiàn)與清單建立階段檢測出的操作系統(tǒng)和已安裝應用，識別其上存在哪些漏洞。

本地安裝應用中的漏洞只能由這種方法檢測。經驗證的漏洞掃描還能識別攻擊者可能從外部未經驗證漏洞掃描中看到的那些漏洞。

很多漏洞掃描器提供的漏洞狀態(tài)結果僅檢測補丁級別或應用版本。漏洞掃描工具應該提供更為詳盡的分析，因為其漏洞特征碼能夠確定很多因素。比如脆弱庫的移除、注冊表鍵和(但不限于)應用修復是否需重啟系統(tǒng)。

第四階段：報告與修復

漏洞掃描完成后，每個漏洞都會由指數型算法基于三個因素給出漏洞評分：

• 利用該漏洞所需的技術;
• 成功漏洞利用所能獲得的權限;
• 漏洞年齡。

漏洞越容易利用，能獲得的權限越高，風險評分就越高。除此之外，風險評分隨漏洞年齡增長而增加。應考慮的首要指標是企業(yè)的總體基線平均風險評分。

最成熟的企業(yè)其平均風險評分甚至更低，并且專注于解決風險評分高于 1,000 的每一個漏洞。應關注的下一個指標就是資產擁有者平均風險評分。

資產所有權在第一階段就已識別，因此，每個擁有者都應能夠看到其資產的基線風險評分。與企業(yè)總體目標類似，每個擁有者應從平均風險評分每年遞減 10% 到 25% 開始，直到評分低于企業(yè)可接受閾值。

系統(tǒng)擁有者相互之間應能看到各自評分，進行對比以知悉自身所處位置。風險評分最低的系統(tǒng)擁有者應受到獎勵。

為推動修復，系統(tǒng)擁有者需要實證漏洞數據以描述哪些漏洞應修復，以及如何執(zhí)行修復的說明。報告應顯示最脆弱的主機、風險評分最高的漏洞和/或針對特定高危應用的報告。這樣系統(tǒng)擁有者就可以合理排序修復工作，優(yōu)先解決可最大限度降低企業(yè)風險的那些漏洞。

隨著新漏洞掃描的執(zhí)行，新的指標可與之前掃描的指標做對比，顯示風險趨勢分析和修復進展。

可用于跟蹤修復情況的一些指標如下：

• 擁有者每資產平均漏洞評分和總體平均漏洞評分如何?
• 擁有者修復基礎設施漏洞平均耗時和總體修復平均耗時有多長?
• 擁有者修復應用漏洞平均耗時和總體修復平均耗時有多長?
• 最近未接受漏洞掃描的資產占比多少?
• 系統(tǒng)上暴露了多少提供特權訪問的遠程可利用漏洞?

項目構建初始階段，企業(yè)平均漏洞評分很高、修復周期很長的現(xiàn)象并不罕見。關鍵在于逐月、逐季度、逐年進展。

隨著團隊對此過程愈加熟悉，愈加了解攻擊者帶來的風險，企業(yè)風險評分和漏洞修復時間應會逐漸減少。

漏洞與風險管理是個持續(xù)的過程。最成功的項目能夠持續(xù)自適應，且與企業(yè)網絡安全項目的風險減少目標相一致。應經常審查該過程，員工應緊跟信息安全最新威脅與趨勢。

確保人員、過程與技術的持續(xù)發(fā)展，將保證企業(yè)漏洞與風險管理項目的成功。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文