解决问题前, 如何判断脆弱管理程序是否失效, 我们必须回答基本问题: 脆弱管理程序是什么?
脆弱管理程序识别漏洞组织网络监控并跟踪这些漏洞的修复分析这些漏洞的根源并战略修改当前进程以修复漏洞的根源举个例子识别漏洞通过执行某种评估像脆弱度评估漏洞审查并联系脆弱装置系统所有者,通知他们系统易漏洞必须纠正系统所有者修复脆弱点并让处于脆弱管理角色的人知道脆弱点已被修复
下游根本原因脆弱评审以确定网络中的脆弱点(即缺失补丁、带默认密码Web管理员控制台slv2等)。组织当前流程(批量管理流程、最小安全基线文档、政策和程序等)已修改,以防止脆弱度在未来重新出现
多数脆弱管理程序严重依赖网络和网络应用扫描器,尽管这些技术应辅以人工评估,如攻击渗透测试和灰盒网络应用评估成熟脆弱管理程序对于安全程序成功至关重要脆弱管理程序可帮助正确实现识别缺陷组织补丁管理程序、防火墙路由器配置、最小安全基线、政策和程序、网络应用开发者培训等另一方面,开发不良脆弱管理程序可能导致整体伪安全感
[相关:漏洞管理:基础知识万事通
顶点表示组织脆弱管理程序失效如下:
相同易变性显示同主机每月
身为安全咨询师,我为许多客户做了季度脆弱性评估多次我发现客户系统中的临界脆弱点 并联系他们通知他们我建议尽快解决脆弱点3个月后再次对客户进行脆弱性评估的时候,我3个月前发现临界脆弱性令我吃惊的是,我发现我所说的严重漏洞应尽快解决,但问题尚未解决。
弱点管理程序背后的想法是,一旦发现易点,它就会在合理的时间里得到补偿成功脆弱管理程序必须制定政策,要求系统所有者解决安全评估期间在合理时间内发现的脆弱问题这些政策应包含时间框架说明系统所有者需要多久解决脆弱问题,并直接与特脆弱程度相关联临界脆弱点可帮助攻击者对受影响系统底层操作系统执行任意命令,应在极短时间段内处理,而较次要脆弱点无需快速补救在任何情况下,除极个别例外外,如果贵网络在识别三个月后仍然存在高风险脆弱度,则贵网络脆弱度管理程序无效
如何解决这一问题:
创建策略强制系统所有者解决系统上发现的漏洞这些政策应直接关联脆弱程度
同样的漏洞类别每月出现
客户端:出错并修复 sslv2第四集
咨询师:这是一个不同的机器脆弱扫描仪在机器10.0.0.1中发现这种脆弱
客户端说得通新机一个月前装上网络将有人更新 httpd.conf文件禁用SSLv2
成功脆弱管理程序都同时有反应式和主动式构件反应式组件无主动式组件将导致多头痛、消防演练和长夜演练主动性构件无响应性构件结果网络填充从未解决的漏洞快速分解这两个组件如下:
反应式:反应式构件表示识别的漏洞必须在合理的时间范围内补救名表示公司正响应安全评估结果,对识别的漏洞进行补救
主动性:主动性构件指识别脆弱时识别并解决脆弱的根本原因弱点系统加固后(SSLv2危险HTTP方法、默认错误处理等),最低安全基准文档应更新和/或政策需要强制实施,要求当前MSB应用到任何系统后再放入网络缺关键补丁时,应审查当前补丁管理程序以确定为何无法补丁专用系统/或服务弱点管理程序先发制人后的想法是隔离并解决问题的根源需要主动化构件,以免每月出现同几类漏洞
如何解决这一问题:
根源分析必须针对安全评估过程中发现的漏洞进行问题根由发现后,流程应调整,以确保网络中不再出现漏洞流程调整包括补丁管理程序修改、当前最小安全基线修改、群策更新等
负责脆弱管理程序者安眠
设计得当的脆弱性管理程序应像油井机脆弱度评估前 环境系统应分配系统拥有者系统拥有者应易定位并制定政策,由哪个系统所有者解决其所负责系统的脆弱性问题根源分析应用来识别为什么存在具体漏洞并随着时间推移对过程进行修改,帮助消除脆弱点,使其在生产环境浮出水面前消除脆弱点。
随时间推移这些东西完全实现后,负责脆弱管理程序者的工作应减少混乱性万一你发现自己想追踪系统拥有者和系统拥有者抗争修复特有漏洞或看到网络中月复一月的相同漏洞后,你就知道弱管理程序效果不及可能
如何解决这一问题:
执行安全评估前,必须执行下列操作:知道网络中谁拥有专用设备!政策强制系统所有者修复漏洞建立进程,要求从根源分析识别漏洞并更新进程以确保脆弱点不再出现
完成漏洞评估两周后, PCI核准的扫描商扫描失败
外部脆弱度评估 部分客户外部存在 准备PCIASV扫描评估没有发现任何漏洞,使客户无法完成即将到来的PCIASV扫描两周后 ASV扫描逆客户外部PCI区首次尝试ASV扫描识别漏洞,结果PCIASV扫描失败客户经进一步调查发现,从ASV扫描到预设脆弱度评估的两周内,另一服务器置置入未适当加固的生产环境。虚弱性在这个服务器上识别 导致客户故障 PCIASV扫描
脆弱管理程序不主动处理安全问题,如果固最小安全基线到位,而政策要求在系统置放生产环境前应用MSB,则新服务器不会增加网络漏洞安全的最终目标是帮助减少风险脆弱管理程序一旦进入生产环境 即识别漏洞 整体效果极有限
如何解决这一问题:
识别漏洞时,过程需要更新,以便不仅修复漏洞,而且修复导致漏洞的中断过程中断过程可包括补丁管理过程、系统加固指南等
无固数字显示程序有效
跟踪脆弱管理程序度量很重要测量中识别的漏洞数目、严重程度和类别等度量应跟踪跟踪已经纠正的全部漏洞和解决这些漏洞所花时间也很重要。
没有数字,你无法执行有效趋势分析无法测量脆弱管理程序的有效性为了澄清我的观点 想象和老板有以下对话
CIO系统:弱点管理程序效果如何
你:我认为它相当有效
CIO系统:比去年这个时间安全吗?
你:我不知道,但我刚补救 5漏洞本周
以上对话结果可能不那么优或“如果你不知道新扫描仪是否会帮助改善总体威胁姿态,我为什么要批准这一预算请求?
如何解决这一问题:
与组织脆弱管理程序有关的度量应跟踪等量子应跟踪:安全评估期间识别的漏洞数重度这些漏洞需要时间修复漏洞类别识别漏洞根本原因脆弱设备脆弱度和假阳性数
脆弱扫描器产生前后不一的结果
清晨醒来 冲个澡 穿衣服 跳车 跳上高速公路 开15里 退出30里标假设隔天早上你做了同样的事情: 取完全相同的高速公路 完全相同的出口, 并发现自己在麦当劳不用说,你可能有点混淆人类期望,如果我们执行与上次完全相同的步骤,环境没有任何改变,那么结果应该相同。
例子似似似似似然,但实际上弱点管理程序同样令人沮丧。或网络应用服务器容易资源饿死,执行这些评估时, 一次扫描可能显示 15个服务器在线一分钟后扫描器可能显示17台服务器在线第三扫描显示只有10台设备上网在这种情况下,关键是调整脆弱扫描器选项以适应这些假设下降线程总数 脆弱扫描器使用从100到10
另一种可能导致前后不一结果的假想是修改扫描机,每月执行弱点扫描下个月使用WebInspect和下个月使用Appscan关键是要与执行漏洞扫描工具保持一致
如何解决这一问题: