幫助組織評估和優(yōu)先考慮漏洞的指南。

所有現(xiàn)代軟件都包含漏洞；需要補(bǔ)丁來修復(fù)的軟件缺陷，或者需要管理活動(dòng)來解決的配置問題。

出于這個(gè)原因，組織應(yīng)該有一個(gè)漏洞管理流程，使他們能夠定期了解其IT資產(chǎn)中存在哪些漏洞。理想情況下，執(zhí)行人員應(yīng)該像了解財(cái)務(wù)狀況一樣了解其IT資產(chǎn)中的主要漏洞。

本指南可幫助組織：

• 評估漏洞并確定優(yōu)先級

• 確定哪些補(bǔ)丁最相關(guān)

• 確保資金和資源能夠發(fā)揮最佳效果

• 

關(guān)于本指南

本指南側(cè)重于廣泛可用的軟件和硬件的漏洞管理，其中大部分包括部署補(bǔ)丁和尋找已知的弱配置。利基軟件問題的管理包括發(fā)現(xiàn)以前未知的問題，并且在很大程度上超出了本文檔的范圍。

本指南假定：

• 您的組織使用您負(fù)責(zé)確保安全的技術(shù)

• 您有敏感數(shù)據(jù)需要保護(hù)免受基于Internet的攻擊

即使您的大部分?jǐn)?shù)據(jù)不敏感，漏洞管理也將幫助您保護(hù)員工詳細(xì)信息和聲譽(yù)。它還將降低您成為后續(xù)感染源的可能性。滲透測試應(yīng)用于驗(yàn)證內(nèi)部漏洞管理流程的有效性，而不是替代它。

關(guān)于漏洞

利用軟件中的已知漏洞仍然是安全事件的最大原因。修補(bǔ)——應(yīng)用來自軟件開發(fā)商、硬件供應(yīng)商和供應(yīng)商的更新以增強(qiáng)功能或提高安全性的過程——是減輕漏洞可以做的最重要的事情之一。

為什么漏洞無法修復(fù)？

最安全的做法是在為受影響的系統(tǒng)發(fā)布相關(guān)補(bǔ)丁后立即修復(fù)所有漏洞。但是，有許多現(xiàn)實(shí)世界的限制可以解釋為什么這是不可能的。主要原因包括：

• 成本——將服務(wù)器和工作站升級到新平臺(tái)的成本很高

• 中斷——升級會(huì)中斷業(yè)務(wù)，必須從其他IT項(xiàng)目中拿走資源

• 兼容性——專業(yè)應(yīng)用程序可能無法在較新的操作系統(tǒng)上可靠地運(yùn)行（這里會(huì)產(chǎn)生兩倍的成本；除了運(yùn)行它的平臺(tái)之外，還必須更換應(yīng)用程序）

• 操作——主要的軟件升級本身就有風(fēng)險(xiǎn)，用戶工具的工作方式可能不同

此外，大規(guī)模升級的前景讓企業(yè)感到不安，并且可能無法使用適當(dāng)?shù)募寄芙M合來規(guī)劃和實(shí)施此類工作。升級工作的延遲只會(huì)增加任務(wù)的規(guī)模，使其更昂貴且吸引力更低。

存在大量工具和資源來幫助確定升級和漏洞管理的優(yōu)先級。

最好從小事做起，取得進(jìn)步，而不是被任務(wù)壓得喘不過氣來，什么也不做。

NCSC漏洞管理

A.評估漏洞

我們建議組織每月對其整個(gè)資產(chǎn)進(jìn)行漏洞評估。新漏洞一直在報(bào)告，許多軟件供應(yīng)商每月發(fā)布更新（例如微軟每月的“補(bǔ)丁星期二”）。

定期評估制度對于確保您的組織了解存在的風(fēng)險(xiǎn)至關(guān)重要。它不需要由外部合作伙伴運(yùn)行，員工也不需要任何特殊培訓(xùn)。

自動(dòng)化漏洞評估系統(tǒng)

雖然可以使用軟件資產(chǎn)管理套件收集軟件補(bǔ)丁狀態(tài)，但您應(yīng)該使用自動(dòng)漏洞評估系統(tǒng)(VAS)來識(shí)別組織IT資產(chǎn)中的漏洞。除了已安裝的軟件之外，軟件資產(chǎn)管理套件并不總是檢查易受攻擊的軟件庫，也不檢查錯(cuò)誤配置。

VAS對目標(biāo)系統(tǒng)執(zhí)行操作（例如通過連接到網(wǎng)絡(luò)服務(wù)來收集橫幅），然后根據(jù)已知漏洞的簽名（例如已知存在漏洞的網(wǎng)絡(luò)服務(wù)報(bào)告的版本號）評估返回的數(shù)據(jù)。

使用VAS時(shí)，您應(yīng)該：

• 從外部角度（例如，從Internet）和內(nèi)部角度評估您的系統(tǒng)——假設(shè)您的系統(tǒng)設(shè)計(jì)區(qū)分這兩個(gè)位置。

• 監(jiān)控用于運(yùn)行漏洞評估掃描的帳戶是否有任何異?；顒?dòng)。如果未執(zhí)行評估，請考慮禁用帳戶或更改與其關(guān)聯(lián)的憑據(jù)。

• 除了對已知系統(tǒng)進(jìn)行有針對性的掃描外，還對您的網(wǎng)絡(luò)進(jìn)行掃描，目的是發(fā)現(xiàn)潛在的未知或未經(jīng)授權(quán)的設(shè)備。

• 請注意，VAS可能會(huì)導(dǎo)致意外結(jié)果，甚至包括數(shù)據(jù)損壞。這種結(jié)果在相對現(xiàn)代的系統(tǒng)（自2010年以來開發(fā)的系統(tǒng)）上不太可能出現(xiàn)，但您可能希望在上線之前針對關(guān)鍵系統(tǒng)的非生產(chǎn)副本測試您的VAS。

• 使用執(zhí)行主機(jī)評估所需的憑據(jù)運(yùn)行VAS，而不僅僅是未經(jīng)身份驗(yàn)證的掃描。一些VAS使用主機(jī)代理，而其他VAS使用特權(quán)憑據(jù)來驗(yàn)證和查詢設(shè)備的狀態(tài)。這兩個(gè)選項(xiàng)之間的選擇是您的組織更容易集成到您的系統(tǒng)中的問題。用于執(zhí)行漏洞評估的特權(quán)憑據(jù)用于連接整個(gè)莊園的大量系統(tǒng)，并且存在被已經(jīng)破壞莊園內(nèi)系統(tǒng)的攻擊者獲取憑據(jù)的風(fēng)險(xiǎn)。

B.分類漏洞

我們建議您組建一個(gè)“漏洞分類小組”，由具備網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、業(yè)務(wù)風(fēng)險(xiǎn)和IT資產(chǎn)管理知識(shí)的員工組成。一旦執(zhí)行了漏洞評估，該小組應(yīng)該開會(huì)，以便對發(fā)現(xiàn)的所有漏洞進(jìn)行分類。

漏洞評估軟件通常會(huì)為問題分配嚴(yán)重等級；這種嚴(yán)重性應(yīng)被視為流程的一部分，但由于它沒有考慮任何業(yè)務(wù)風(fēng)險(xiǎn)或緩解情況，因此不應(yīng)將其視為黃金標(biāo)準(zhǔn)。

分類小組必須花時(shí)間根據(jù)所有可用信息評估問題。請注意，第一次在系統(tǒng)上執(zhí)行此操作時(shí)，可能需要評估大量問題。抵制忽略所有未標(biāo)記為“嚴(yán)重”或“高”的問題的誘惑。

通用漏洞評分系統(tǒng)(CVSS)為漏洞分配數(shù)字分?jǐn)?shù)，并嘗試協(xié)助漏洞分類過程。如果使用得當(dāng)，它可能是一個(gè)有用的工具，但分類小組必須確保他們：

• 不要選擇任意分?jǐn)?shù)，高于該分?jǐn)?shù)必須修復(fù)漏洞，忽略低于該級別的所有問題

• 不要在不考慮組織特定緩解或優(yōu)先級的情況下獲取原始CVSS分?jǐn)?shù)

您的分類流程應(yīng)將所有已識(shí)別的問題分為三類：Fix、Acknowledge和Investigate。

• 修復(fù)問題是那些將實(shí)施補(bǔ)丁、重新配置或緩解的問題。這些修復(fù)應(yīng)該被優(yōu)先考慮，并給出修復(fù)的日期。

• 確認(rèn)問題是指無論出于何種原因，您目前決定不解決的問題。有正當(dāng)理由不立即解決漏洞，應(yīng)記錄它們，以及確認(rèn)它的理由和給出的審查日期。如果它們存在的風(fēng)險(xiǎn)水平足夠高，請將問題記錄在風(fēng)險(xiǎn)登記冊中。承認(rèn)一個(gè)問題而不是修復(fù)它的理由應(yīng)該足以證明如果該漏洞在未來被利用時(shí)做出的決定是合理的。

• 調(diào)查問題應(yīng)僅用作分類小組無法將其歸類為“修復(fù)”或“確認(rèn)”的臨時(shí)狀態(tài)。這可能是因?yàn)榻鉀Q問題的成本未知，或者有許多可能的解決方案，需要更多的工作來確定哪個(gè)最有效。漏洞評估軟件并非萬無一失，并且可能會(huì)出現(xiàn)誤報(bào)。如果懷疑有此問題，則應(yīng)在消除問題之前進(jìn)行調(diào)查。此類別中問題的時(shí)間表將取決于問題的可能嚴(yán)重程度。

解決或保留問題的決定從根本上說是一項(xiàng)業(yè)務(wù)決策，每個(gè)組織都有自己的風(fēng)險(xiǎn)偏好。

C.優(yōu)先考慮漏洞修復(fù)

您應(yīng)該通過專注于以下問題來確定漏洞的優(yōu)先級：

• 最大數(shù)量的潛在攻擊者可以訪問

• 如果被利用將產(chǎn)生最大的影響

潛在攻擊者的數(shù)量取決于漏洞的可訪問性（例如，它可以從Internet訪問，還是只能從安全網(wǎng)絡(luò)中訪問？）以及利用的復(fù)雜性。如果存在公開可用的漏洞利用，那么可能的攻擊者數(shù)量比已知漏洞但攻擊者必須開發(fā)自己的漏洞利用代碼時(shí)要大得多。

利用的影響包括技術(shù)影響和業(yè)務(wù)影響。例如：

• 技術(shù)影響——一個(gè)可能允許拒絕服務(wù)的問題通常被認(rèn)為比一個(gè)可以讓攻擊者能夠在目標(biāo)系統(tǒng)上運(yùn)行他們自己的軟件的問題的影響更小

• 業(yè)務(wù)影響——支付處理系統(tǒng)中的漏洞高于會(huì)議室預(yù)訂系統(tǒng)中的漏洞

下面給出了一組用于決定應(yīng)該解決哪些問題的示例指南。

第1步：確定您需要解決的問題

優(yōu)先級1：修復(fù)可在Internet上自動(dòng)利用而無需用戶（或攻擊者）交互的Internet服務(wù)和現(xiàn)成的Web應(yīng)用程序。

1.保護(hù)可從Internet直接訪問且存在已知、可利用的嚴(yán)重漏洞的任何服務(wù)。漏洞掃描程序可以過濾那些已知漏洞并且“高”或“嚴(yán)重”（就其潛在負(fù)面影響而言）的漏洞。

2.包括任何現(xiàn)成的Web應(yīng)用程序；它們包含已知的漏洞，它們極易受到利用，包括非目標(biāo)自動(dòng)利用。

優(yōu)先級2：修復(fù)無需用戶（或攻擊者）交互即可在Internet上利用的定制/小眾Web應(yīng)用程序。

1.安全的定制Web應(yīng)用程序（即任何在網(wǎng)站上運(yùn)行代碼但不是從供應(yīng)商處購買或不是來自主要開源項(xiàng)目的代碼）。此類Web應(yīng)用程序越來越容易受到攻擊。

2.首先，優(yōu)先考慮可從您的環(huán)境外部訪問的任何服務(wù)器。

優(yōu)先級3：修復(fù)可在Internet上以最少的用戶交互利用的問題（工作站漏洞、路過式下載、基于電子郵件的攻擊）。

1.保護(hù)用戶工作站免受路過式下載和基于電子郵件的攻擊。保護(hù)Web瀏覽器和常見用戶應(yīng)用程序的安全在這里至關(guān)重要。

2.盡管較新的應(yīng)用程序不支持較舊版本的Windows，但您不必立即升級操作系統(tǒng)。您最終將需要升級。

優(yōu)先級4：修復(fù)可通過Internet對用戶進(jìn)行社會(huì)工程（從Web下載或通過電子郵件發(fā)送的惡意應(yīng)用程序）利用的問題。這些攻擊需要您的用戶參與其中——例如通過下載受感染的文件或單擊網(wǎng)絡(luò)釣魚電子郵件中的鏈接或附件——因此您需要相應(yīng)地保護(hù)您的系統(tǒng)。

1.使用WindowsXP上的軟件限制策略或Vista和更新的Windows版本上的AppLocker建立一個(gè)簡單的應(yīng)用程序拒絕列表。這將阻止用戶輕松運(yùn)行他們下載或通過電子郵件發(fā)送的程序（無論是有意還是錯(cuò)誤地）。

2.在Windows XP中，阻止用戶從C:\Documents and Settings運(yùn)行的所有應(yīng)用程序以及其中包含的所有文件夾。

3.對于 Windows Vista 及更高版本，阻止用戶從 C:\Users運(yùn)行的所有應(yīng)用程序以及其中包含的所有文件夾。

第2步：決定您可以修復(fù)的問題

您可能會(huì)發(fā)現(xiàn)更多可以解決的問題。決定你有能力修復(fù)什么是高層的決定。這不是IT問題。這是一個(gè)商業(yè)風(fēng)險(xiǎn)。

優(yōu)先決策需要結(jié)合以下因素：

• 上面的優(yōu)先級列表

• 直接成本

• 給員工帶來不便的成本

• 短期修復(fù)的可用性和成本

• 技能資源的成本和可用性

• 事件響應(yīng)和恢復(fù)的成本（包括任何罰款）

• 名譽(yù)受損

記錄做出決定的原因。對于決定不解決問題但承認(rèn)問題的任何問題，需要制定一個(gè)審查該決定的時(shí)間框架。不解決問題的決定應(yīng)該在足夠高的級別做出，以便做出決定的人能夠在未來利用漏洞時(shí)為其辯護(hù)。

2. >>>等級保護(hù)<<<
3. 開啟等級保護(hù)之路：GB 17859網(wǎng)絡(luò)安全等級保護(hù)上位標(biāo)準(zhǔn)
4. 網(wǎng)絡(luò)安全等級保護(hù)：等級保護(hù)測評過程及各方責(zé)任
5. 網(wǎng)絡(luò)安全等級保護(hù)：政務(wù)計(jì)算機(jī)終端核心配置規(guī)范思維導(dǎo)圖
6. 網(wǎng)絡(luò)安全等級保護(hù)：什么是等級保護(hù)？
   
7. 網(wǎng)絡(luò)安全等級保護(hù)：信息技術(shù)服務(wù)過程一般要求
8. 閑話等級保護(hù)：網(wǎng)絡(luò)安全等級保護(hù)基礎(chǔ)標(biāo)準(zhǔn)（等保十大標(biāo)準(zhǔn)）下載
9. 閑話等級保護(hù)：什么是網(wǎng)絡(luò)安全等級保護(hù)工作的內(nèi)涵？
10. 閑話等級保護(hù)：網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求之基本級安全通用要求
    
11. 閑話等級保護(hù)：測評師能力要求思維導(dǎo)圖
    
12. 閑話等級保護(hù)：應(yīng)急響應(yīng)計(jì)劃規(guī)范思維導(dǎo)圖
    
13. 閑話等級保護(hù)：淺談應(yīng)急響應(yīng)與保障
    
14. 閑話等級保護(hù)：如何做好網(wǎng)絡(luò)總體安全規(guī)劃
    
15. 閑話等級保護(hù)：如何做好網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)施
    
16. 閑話等級保護(hù)：要做好網(wǎng)絡(luò)安全運(yùn)行與維護(hù)
    
17. 閑話等級保護(hù)：人員離崗管理的參考實(shí)踐
18. 信息安全服務(wù)與信息系統(tǒng)生命周期的對應(yīng)關(guān)系
19. >>>工控安全<<<
20. 工業(yè)控制系統(tǒng)安全：信息安全防護(hù)指南
21. 工業(yè)控制系統(tǒng)安全：工控系統(tǒng)信息安全分級規(guī)范思維導(dǎo)圖
22. 工業(yè)控制系統(tǒng)安全：DCS防護(hù)要求思維導(dǎo)圖
23. 工業(yè)控制系統(tǒng)安全：DCS管理要求思維導(dǎo)圖
24. 工業(yè)控制系統(tǒng)安全：DCS評估指南思維導(dǎo)圖
25. 工業(yè)控制安全：工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施指南思維導(dǎo)圖
26. 工業(yè)控制系統(tǒng)安全：安全檢查指南思維導(dǎo)圖（內(nèi)附下載鏈接）
27. 工業(yè)控制系統(tǒng)安全：DCS風(fēng)險(xiǎn)與脆弱性檢測要求思維導(dǎo)圖
28. >>>數(shù)據(jù)安全<<<

29. 數(shù)據(jù)安全風(fēng)險(xiǎn)評估清單

30. 成功執(zhí)行數(shù)據(jù)安全風(fēng)險(xiǎn)評估的3個(gè)步驟

31. 美國關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)泄露的成本

32. VMware 發(fā)布9.8分高危漏洞補(bǔ)丁

33. 備份：網(wǎng)絡(luò)和數(shù)據(jù)安全的最后一道防線

34. 數(shù)據(jù)安全：數(shù)據(jù)安全能力成熟度模型

35. 數(shù)據(jù)安全知識(shí)：什么是數(shù)據(jù)保護(hù)以及數(shù)據(jù)保護(hù)為何重要？

36. 信息安全技術(shù)：健康醫(yī)療數(shù)據(jù)安全指南思維導(dǎo)圖

37. >>>供應(yīng)鏈安全<<<

38. 美國政府為客戶發(fā)布軟件供應(yīng)鏈安全指南
    

39. OpenSSF 采用微軟內(nèi)置的供應(yīng)鏈安全框架
    

40. 供應(yīng)鏈安全指南：了解組織為何應(yīng)關(guān)注供應(yīng)鏈網(wǎng)絡(luò)安全
    

41. 供應(yīng)鏈安全指南：確定組織中的關(guān)鍵參與者和評估風(fēng)險(xiǎn)
    

42. 供應(yīng)鏈安全指南：了解關(guān)心的內(nèi)容并確定其優(yōu)先級

43. 供應(yīng)鏈安全指南：為方法創(chuàng)建關(guān)鍵組件

44. 供應(yīng)鏈安全指南：將方法整合到現(xiàn)有供應(yīng)商合同中

45. 供應(yīng)鏈安全指南：將方法應(yīng)用于新的供應(yīng)商關(guān)系

46. 供應(yīng)鏈安全指南：建立基礎(chǔ)，持續(xù)改進(jìn)。
47. 思維導(dǎo)圖：ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南思維導(dǎo)圖