脆弱性管理101

Question

从Nessus或Qualys看一份典型的漏洞扫描报告，大多数人都感到恐惧、迷茫，基本上问题多于答案。例如，我到底该如何处理所有这些发现？据我所知，漏洞管理过程可以分为四个步骤(不提它与补丁、更改、风险管理的密切关系)：

1. 识别漏洞
2. 评估脆弱性
3. 处理漏洞
4. 报告脆弱性

漏洞扫描器评分/风险等级及其如何与您的org.

匹配

虽然扫描仪提供了自己的风险评级和分数，比如CVSS，我想这些在某种程度上有助于告诉组织哪些秃鹫需要立即注意，但它们真的反映了真正的风险吗？我的意思是，漏洞可能取决于上述分数以外的其他一些因素，漏洞扫描器没有智能来判断发现的结果是真是假(在一定程度上，例如与支持的补丁有关的问题)，是否有任何安全控制可以减少该漏洞被利用的可能性和/或影响，它将如何影响被利用系统的保密性、完整性和可用性，数据，它将如何影响您的业务，您的组织的风险管理策略是什么和许多其他。

所以我想，漏洞扫描器和其他安全相关软件一样，并不完美，但它们仍然为我们提供了大量的信息(有时是有效的，有时不是有效的)，这就是我们作为人类来产生更有意义的东西的地方，目的是增加一个组织的安全姿态，降低它的风险。我想这是过程中的第二步，漏洞评估。

在探讨这个话题时，我听到了这样的声音：“你的脆弱性管理需要风险驱动，这样你就可以做出明智的决定”，或者“你的脆弱性管理需要由威胁--智能驱动，来学习和预测对手的攻击方式”。

如何评估、排序、补救？

所以，我要找的也许不是食谱，而是有经验的成员关于如何：

• 不要在调查结果上浪费不必要的时间，因为不管怎么说，它们都是假阳性(例如后台)。第一步应该是验证是否为假阳性？
• 选择要首先解决的正确漏洞(我在这里查找关于是否首先根据漏洞的性质对漏洞进行分组的建议，例如注入漏洞或任何其他标准)。据我所知，通常建议通过插件ID而不是IP来导出或过滤扫描结果，这样我们就只有几百个漏洞组，这些组中有x个系统)。我知道CVSS评分系统，所以我可以或者应该使用它来进行基于我的组织/环境的更准确的评估吗？)
• 我真的想避免这样一种情况:我只是那种用电话和电子邮件来骚扰别人的人，这些人问我的秃鹫是否已经被处理过，但我更希望对我目前工作的组织的安全态势产生影响。除此之外，我可能会查看所有发现的列表，并以咨询的形式提供有关如何验证和修补给定漏洞的信息，但在某些情况下，我的能力有限，这意味着我不知道关于给定系统的所有细节，因此，仅仅提供一条建议升级到最新的PHP版本，其中不推荐一些函数，并不能帮助相关的系统所有者。

PS。如果有什么书可以推荐的话，我会非常感激的！

Answer 1

整个过程归结为一个简单的概念:风险管理。

你有一个软件，可以给你提供潜在威胁的原始信息。现在，您完成了您概述的过程：

1. 识别漏洞
2. 评估脆弱性
3. 处理漏洞
4. 报告脆弱性

假阳性:您评估已识别的漏洞，以确定它们是否是需要处理的风险。

脆弱性优先顺序:根据哪些风险最重要，您可以评估已识别的漏洞，以确定哪些风险首先需要处理。你可以使用分数或任何其他对你有用的方法。

让其他人补救:你需要以一种在你的环境中有效的方式进行沟通。我们当然不能提供一个单一的答案来解决这个问题。这往往比与安全或风险有关的问题更具有政治和文化意义。

因此，考虑到所有这些，您似乎想知道如何以一种与组织中的风险相关的方式来评估漏洞。相关性是这里的关键。这更像是一个风险管理的过程。

风险管理

1. 评估威胁(本案中的秃鹫)，看看它们是否会对目标和目标产生影响，以及可能产生多大的影响(称为“固有风险”)
2. 您可以确定现有的控制措施是否影响影响(称为评估“残余风险”)。
3. 你要对付那些会有最高残留风险的人

这可能需要几秒钟，或者可能需要几个月，这取决于您的上下文和可能有多少变量。因此，许多组织采取捷径，只是使用CVSS分数，而不评估现有的控制，除非补救有很高的成本和成本/效益分析需要作出。