16、网络安全漏洞管理的八步指南

网络安全漏洞管理的八步指南

1. 对特定资产进行渗透测试

1.1 操作内容

在制定好计划后，就可以开展渗透测试了。不过要确保为后续的步骤预留好时间和资金，否则在预算紧张时，这一步骤可作为优先削减的项目。对组织外部可访问的资产进行渗透测试具有重要价值。

1.2 原因

虽然渗透测试的价值存在争议，但在合适的时间对合适的资产进行测试，能让你从真正攻击者的角度了解网络状况。

1.3 操作方法

渗透测试有两种方式：自行测试或外包给第三方。自行测试能更准确地了解网络情况。测试时应专注于外部可访问的资产，若有多个此类资产，可参照基线漏洞评估的方式，从高风险资产开始，逐步到低风险资产。同时，可将渗透测试结果与内部漏洞扫描结果进行对比。渗透测试需涵盖以下步骤：
1. 分析外部系统
2. 分析外部应用程序
3. 识别潜在的架构弱点
4. 识别潜在的可利用漏洞
5. 利用弱点和漏洞
6. 生成报告

1.4 可用工具

工具的选择取决于测试方式。免费开源工具包括：
- Framework (Metasploit, www.metasploit.org)
- Nmap (Insecure.org, www.insecure.org)

应用方面可使用Open Web Application Security Project (OWASP) 的资源和工具。商业工具如下：
- Core Impact (Core Security Technologies, www.coresecurity.com)
- Immunity CANVAS (Immunity Inc., www.immunitysec.com)
- AppDetective (Application Security Inc., www.appsecinc.com)
- AppScan (Watchfire Corp., www.watchfire.com)

2. 修复漏洞和风险

2.1 操作内容

在这一步，需要修复系统中存在的漏洞。要牢记漏洞的定义：漏洞是恶意人员可利用的软件或硬件缺陷或配置错误。

2.2 原因

通过基线扫描发现了大量易受攻击的系统，必须将这些系统提升到安全状态，为后续的漏洞管理计划奠定基础。

2.3 操作方法

组织规模越大，这一步越难完成。建议从高风险资产开始，逐步处理低风险资产。需要修复的问题有两类：漏洞和配置问题。部分漏洞可能没有补丁，需要通过配置更改来解决。具体步骤如下：
1. 准确抽样资产
2. 在抽样系统上测试所有补丁和配置更改
3. 记录结果并记录已接受的风险，以供签署
4. 推广补丁和配置更改
5. 重复漏洞扫描步骤以验证推广效果

2.4 可用工具

这方面开源工具较少，可考虑商业解决方案，如：
- ECM (Configuresoft, www.configuresoft.com)
- PatchLink Update (PatchLink Corp., www.patchlink.com)
- Microsoft Systems Update Services (Microsoft, www.microsoft.com)
- bvControl (Symantec, www.symantec.com)
- UpdateEXPERT (St. Bernard Software, www.stbernard.com)

3. 创建漏洞评估计划

3.1 操作内容

根据前期的扫描和修复经验，制定后续的漏洞评估计划。

3.2 原因

漏洞管理是一项持续的工作，合理的计划能让整个过程更易于管理。

3.3 操作方法

评估计划可根据组织的风险偏好制定，但有三个触发扫描的特定情况：
1. 出现新威胁，需验证系统是否受影响
2. 供应商发布补丁，需验证系统是否已打补丁
3. 需要对当前安全状况进行实时评估

以下是一个示例计划：
| 扫描触发条件 | 扫描对象 | 扫描时间 | 扫描内容 |
| — | — | — | — |
| 实时评估 | 机密资产组 | 每月最后一个星期一 | 所有漏洞和配置问题 |
| 实时评估 | 内部专用资产组 | 每月最后一个星期五 | 所有漏洞和配置问题 |
| 实时评估 | 未分类资产组 | 每季度倒数第二个星期一 | 所有漏洞和配置问题 |
| 供应商发布补丁或其他大规模变更 | 机密资产组 | 触发事件后立即进行，修复完成后再次扫描 | 供应商发布的补丁或变更相关的所有漏洞 |
| 供应商发布补丁或其他大规模变更 | 内部专用资产组 | 机密资产组扫描完成后立即进行，修复完成后再次扫描 | 供应商发布的补丁或变更相关的所有漏洞 |
| 供应商发布补丁或其他大规模变更 | 未分类资产组 | 内部专用资产组扫描完成后立即进行，修复完成后再次扫描 | 供应商发布的补丁或变更相关的所有漏洞 |
| 出现新威胁 | 机密资产组 | 触发事件后立即进行，修复完成后再次扫描 | 与新威胁相关的操作系统、应用程序或配置 |
| 出现新威胁 | 内部专用资产组 | 机密资产组扫描完成后立即进行，修复完成后再次扫描 | 与新威胁相关的操作系统、应用程序或配置 |
| 出现新威胁 | 未分类资产组 | 内部专用资产组扫描完成后立即进行，修复完成后再次扫描 | 与新威胁相关的操作系统、应用程序或配置 |

4. 创建补丁和变更管理流程

4.1 操作内容

创建一个涵盖补丁和重新配置可能引发的所有潜在问题的管理流程。

4.2 原因

合理规划和测试计算资产的变更，能避免变更失败，确保安全计划的成功实施。

4.3 操作方法

创建流程时需遵循以下步骤：
1. 创建一个包含网络所有资产样本的测试组
2. 详细记录提议的变更
3. 记录“回滚”计划以撤销变更
4. 获得资产所有者对计划变更的签字批准
5. 在测试组上实施变更
6. 监控是否有不良影响
7. 若测试组成功，在企业范围内推广变更
8. 若测试组失败，撤销变更
9. 启动漏洞评估步骤

4.4 可用工具

部分变更管理工具是定制系统，也有很多商业产品可供选择，如：
- Tivoli (IBM, www.ibm.com)
- netViz Change Management (netViz, www.netviz.com)
- BMC Remedy (BMC Software, www.bmc.com)

5. 监控资产的新风险

5.1 操作内容

这是漏洞管理的最后一步，需要持续监控可能影响网络安全的新事件。

5.2 原因

网络安全状况随时可能受到外部因素影响，持续监控能及时发现并处理新风险，缩短漏洞暴露时间。

5.3 操作方法

在监控新威胁前，需了解可能的威胁类型，包括：
- 供应商发布的补丁
- 配置弱点
- 0 日漏洞发布
- 大规模攻击

5.4 可用工具

可通过订阅供应商的补丁发布邮件列表来跟踪补丁。常见供应商的补丁发布信息如下：
| 供应商 | 补丁发布信息 |
| — | — |
| Microsoft | www.microsoft.com/technet/security/default.mspx |
| Apple | www.apple.com/support/security/ |
| Citrix | www.citrix.com/site/jumpPage.asp?pageID=22214 |
| Sun Microsystems | http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage |
| Oracle | www.oracle.com/technology/deploy/security/alerts.htm |
| Red Hat Linux | www.redhat.com/security/updates/ |
| Hewlett-Packard | www1.itrc.hp.com/service/index.do |
| Mozilla | www.mozilla.org/security/#Security_Alerts |
| IBM | www-306.ibm.com/software/sw-bycategory/ |
| Cisco | www.cisco.com/iam/unified/ipcc1/Cisco_Product_Security_Overview.htm |
| Juniper | www.juniper.net/support/security/security_notices.html |
| Nortel Networks | www130.nortelnetworks.com/go/main.jsp |

配置弱点、安全公告、0 日漏洞发布和大规模攻击通常通过各种邮件列表报告。以下是一些可用的邮件列表资源：
| 列表名称 | URL |
| — | — |
| VulnWatch | www.vulnwatch.org |
| VulnDiscuss | www.vulnwatch.org |
| BugTraq | www.securityfocus.com/archive/1/description |
| Full-Disclosure (warning: unmoderated) | https://lists.grok.org.uk/mailman/listinfo/full-disclosure |
| North America Network Operators Group (NANOG) | www.nanog.org/mailinglist.html |
| Patch Management | www.patchmanagement.org/ |
| Incidents Mailing List | www.securityfocus.com/archive/75/description |

此外，还有一些商业解决方案可帮助监控：
- Symantec DeepSight (www.symantec.com/Products/enterprise?c=prodcat&refId=1017)
- Computer Associates eTrust (www3.ca.com/services/subpractice.aspx?ID=5012)
- FrSIRT Alerting Service (www.frsirt.com/english/services/)
- Telus Assurent (www.assurent.com/)
- CyberTrust (www.cybertrust.com/solutions/managed_security_services/)
- Secunia (http://corporate.secunia.com/products/9/vulnerability_management_products_enterprise)

通过以上八个步骤，可以建立一个有效的漏洞管理计划，保障网络安全。在选择工具时，要根据组织的具体需求进行评估，确保工具能满足实际要求。

6. 八步流程总结与关键要点回顾

6.1 八步流程概述

整个漏洞管理过程包含了八个关键步骤，每个步骤都紧密相连，共同构成了一个完整的漏洞管理体系。下面通过 mermaid 格式流程图来直观展示这八步流程：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;

    A(对特定资产进行渗透测试):::process --> B(修复漏洞和风险):::process
    B --> C(创建漏洞评估计划):::process
    C --> D(创建补丁和变更管理流程):::process
    D --> E(监控资产的新风险):::process

从流程图可以清晰看到，渗透测试是发现潜在漏洞的起点，为后续的修复和管理提供依据。修复漏洞和风险是将发现的问题进行解决，确保系统的安全性。创建漏洞评估计划和补丁及变更管理流程则是为了建立长效的管理机制，保证漏洞管理工作的持续进行。而监控资产的新风险则是整个流程的持续保障，及时发现新的威胁并采取措施。

6.2 各步骤关键要点总结

步骤	关键要点
对特定资产进行渗透测试	- 确保为后续步骤预留时间和资金 - 专注外部可访问资产，从高风险到低风险进行测试 - 涵盖分析系统、应用，识别弱点和漏洞，利用并报告等步骤 - 可选择开源或商业工具
修复漏洞和风险	- 牢记漏洞定义，包括软件硬件缺陷和配置错误 - 从高风险资产开始修复，处理漏洞和配置问题 - 抽样测试、记录结果、推广更改并验证效果 - 考虑商业解决方案工具
创建漏洞评估计划	- 根据扫描和修复经验制定计划 - 依据新威胁、补丁发布、实时评估三个触发条件安排扫描 - 按照资产组和触发条件确定扫描时间和内容
创建补丁和变更管理流程	- 创建涵盖潜在问题的管理流程 - 遵循创建测试组、记录变更、获得批准、实施监控等步骤 - 可选用商业变更管理工具
监控资产的新风险	- 了解供应商补丁、配置弱点、0 日漏洞、大规模攻击等威胁类型 - 通过订阅邮件列表和使用商业解决方案进行监控

7. 工具选择与组织需求匹配

7.1 工具选择的重要性

在整个漏洞管理过程中，工具的选择至关重要。不同的工具具有不同的功能和特点，只有选择与组织需求相匹配的工具，才能有效地完成漏洞管理工作。例如，在渗透测试中，不同的工具对于外部系统和应用的分析能力可能不同；在修复漏洞时，工具的兼容性和稳定性也会影响修复效果。

7.2 选择工具的考虑因素

• 功能需求 ：根据组织的具体业务和安全需求，确定工具需要具备的功能。例如，如果组织有大量的 Web 应用，那么在渗透测试和漏洞修复时，就需要选择支持 Web 应用安全检测和修复的工具。
• 易用性 ：工具的操作是否简单易懂，是否需要专业的技术人员进行操作。对于一些小型组织或技术能力有限的团队，易用性高的工具更为合适。
• 成本 ：包括工具的购买成本、使用成本和维护成本等。需要在满足功能需求的前提下，选择成本合理的工具。
• 兼容性 ：工具是否能够与组织现有的系统和软件兼容，避免出现冲突和不兼容的情况。

7.3 工具选择示例

以下是根据不同步骤给出的工具选择示例：
| 步骤 | 推荐工具 | 选择理由 |
| — | — | — |
| 对特定资产进行渗透测试 | Metasploit、Nmap、Core Impact | Metasploit 和 Nmap 是开源工具，功能强大且免费，适合有一定技术能力的团队。Core Impact 是商业工具，功能更全面，适合对渗透测试要求较高的组织。 |
| 修复漏洞和风险 | ECM、PatchLink Update | ECM 可以帮助进行配置管理，PatchLink Update 能有效进行补丁管理，满足漏洞修复的需求。 |
| 创建漏洞评估计划 | 无特定工具，可使用 Excel 等 | 漏洞评估计划主要是制定策略和安排时间，使用 Excel 等办公软件即可完成计划的制定和记录。 |
| 创建补丁和变更管理流程 | Tivoli、netViz Change Management | 这些商业工具具有完善的变更管理功能，能够帮助组织规范补丁和变更管理流程。 |
| 监控资产的新风险 | Symantec DeepSight、Secunia | Symantec DeepSight 具有强大的威胁情报分析能力，Secunia 专注于漏洞管理，能及时发现新的风险。 |

8. 漏洞管理的持续优化

8.1 持续优化的必要性

网络安全环境是不断变化的，新的漏洞和威胁不断涌现。因此，漏洞管理工作不能仅仅停留在完成八步流程上，而是需要持续优化，以适应不断变化的安全形势。持续优化可以提高漏洞管理的效率和效果，降低组织的安全风险。

8.2 持续优化的方法

• 定期回顾和评估 ：定期对漏洞管理流程和工具进行回顾和评估，检查是否达到了预期的效果，是否存在需要改进的地方。例如，每季度或每年对漏洞管理工作进行一次全面评估。
• 学习和借鉴最佳实践 ：关注行业内的最佳实践和最新技术，学习其他组织的成功经验，将其应用到自己的漏洞管理工作中。可以参加行业会议、阅读专业文章等方式获取相关信息。
• 加强人员培训 ：提高安全人员的技术水平和安全意识，使其能够更好地执行漏洞管理工作。可以组织内部培训、参加外部培训课程等方式提升人员能力。
• 引入新技术和工具 ：随着技术的发展，不断有新的漏洞管理技术和工具出现。及时引入适合组织的新技术和工具，提升漏洞管理的效率和效果。

8.3 持续优化的流程示例

以下是一个简单的持续优化流程示例：
1. 定期收集漏洞管理工作的数据和反馈，包括漏洞发现数量、修复时间、工具使用情况等。
2. 对收集的数据进行分析，找出存在的问题和改进的方向。
3. 根据分析结果，制定改进计划，包括流程优化、工具升级、人员培训等方面。
4. 实施改进计划，并跟踪改进效果。
5. 重复以上步骤，形成持续优化的循环。

通过以上的持续优化方法和流程，可以不断提升漏洞管理的水平，保障组织网络的安全稳定运行。

9. 总结与展望

9.1 总结

通过对整个漏洞管理八步流程的详细阐述，我们可以看到，漏洞管理是一个系统而复杂的过程，需要各个步骤的紧密配合和持续优化。从渗透测试发现漏洞，到修复漏洞、建立管理机制，再到持续监控新风险，每一个环节都不可或缺。同时，工具的选择和人员的能力也是影响漏洞管理效果的重要因素。在实际工作中，组织需要根据自身的特点和需求，合理运用这些方法和工具，建立适合自己的漏洞管理体系。

9.2 展望

随着信息技术的不断发展，网络安全面临着越来越多的挑战。未来，漏洞管理工作也将面临新的机遇和挑战。一方面，新技术的出现，如人工智能、大数据等，将为漏洞管理提供更强大的工具和方法，提高漏洞发现和修复的效率。另一方面，新的攻击手段和威胁也将不断涌现，对漏洞管理工作提出更高的要求。因此，组织需要不断关注技术发展趋势，持续优化漏洞管理体系，以应对未来的安全挑战。同时，加强行业间的合作和信息共享，共同应对网络安全威胁，也是未来漏洞管理工作的重要发展方向。