什么是漏洞评估？15个关键点漏洞评估清单

正确评估漏洞对于通过漏洞管理计划实现网络安全目标至关重要。漏洞评估清单是一种实用的解决方案，可确保评估过程一致且彻底，并将遗漏重要漏洞的风险降至最低。

什么是漏洞评估？

漏洞评估是一个综合过程，通过它可以突出系统、应用程序和网络中的固有弱点和安全漏洞。漏洞评估工具包括Web漏洞扫描器、网络扫描软件、协议扫描器、评估软件、手动渗透测试等。

脆弱性评估涉及：

• 扫描应用程序及其各种组件
• 主动识别漏洞
• 评估成功利用每个漏洞的严重性和潜在影响

扫描之后进行测试以模拟攻击并了解攻击者如何利用漏洞。根据调查结果，安全/IT/开发团队可以确定关键漏洞的优先级并专注于修复它们。

15 关键点漏洞评估清单

评估前

1. 选择正确的漏洞评估工具

为使评估全面且其见解对漏洞管理有用，您必须选择正确的评估工具集。

• 在选择正确的工具时，您必须从您独特的业务和应用程序/网站环境和需求开始。
• 根据这些独特的需求和环境比较这些工具的功能，以及您的实时/准实时应用程序的演示/试用版评估结果。
• 选择一种工具来检测和评估基础架构中的各种漏洞，以确保全面覆盖。
• 利用扫描自动化的力量，因为它可以以快速的方式覆盖大面积的区域，并将错误范围降至最低。
• 结合人类智慧和专业知识的力量，进行渗透测试、安全审计、设计修复等。
• 选择一套智能、全面且受管理的工具，这些工具可以根据您不断变化的需求进行定制和持续调整，并且其报告是即时的，洞察力可付诸行动。
• 一些漏洞评估工具可能会产生误报或漏报，这可能会产生误导，而且补救起来很费时。选择高精度的工具可以帮助您更有效地确定漏洞的优先级并修复漏洞。

2.定义要评估的资产

评估必须有计划，不能是临时的。识别并映射您的所有数字资产、系统、关联和第三方系统、流程、IT 基础设施、设备、应用程序、服务器、数据库、内容管理系统、开发框架、端口等。并收集有关网络基础设施的所有可能信息，以全面了解您企业的 IT 资产以及每项资产的重要性。必须识别所有连接到网络并可能容易受到攻击的资产。确定资产后，确定评估中包括哪些系统和应用程序很重要。这可能包括攻击者最有可能瞄准的关键系统和应用程序。

3. 确定脆弱性评估的范围和目标

为评估的每个组成部分整合一组正确定义的目标、范围和预期结果。制作威胁模型并确定扫描、测试等目标区域，以确定应用程序中的最大数量的关键漏洞。

4.确定要评估的漏洞类型

根据您组织的风险状况和合规性要求确定将评估哪些漏洞很重要。确定将要评估的漏洞可以帮助您确定工作和资源的优先顺序，以解决最重大的安全风险。有多种常见的安全风险、攻击类型和漏洞可能会损害您的系统。以下是一些最常见的示例：

• 恶意软件
• 网络钓鱼
• 拒绝服务 (DoS) 攻击
• SQL注入
• 跨站点脚本 (XSS)
• 中间人 (MITM) 攻击
• 未打补丁的软件
• 弱密码或不安全密码
• 内部威胁

5. 定义脆弱性评估方法

应定义评估方法，以确保评估始终如一地根据最佳实践进行。该方法涉及一系列步骤，以全面分析您组织的安全状况并识别攻击者可能利用的潜在漏洞。

以下是漏洞评估方法中涉及的典型步骤：

• 确定关键和有吸引力的资产
• 进行漏洞评估
• 漏洞分析和风险评估
• 整治
• 通过改进重新评估系统
• 报告结果

6.确定要授予的访问级别

授予评估团队的访问级别应根据被评估的系统和应用程序来确定。例如，评估团队可能需要对某些系统进行管理访问才能进行全面评估。

7. 确定任何合规要求

合规性要求可能会规定评估的范围和目标。例如，高度监管行业的组织可能需要更频繁地进行评估或满足特定标准，例如 PCI DSS 或 HIPAA。

8. 确定评估频率

漏洞评估清单中的一个重要考虑因素。评估的频率应根据组织的风险概况和合规要求来确定。必须每天以及在任何重大业务/应用程序/网络更改后进行漏洞扫描，而不会影响您的应用程序或网络的速度。基于云的全面、自动化、可定制和智能的解决方案可以很好地发现各种已知漏洞。手动渗透测试和安全审计中的漏洞测试必须每季度安排一次，以有效识别未知漏洞、业务逻辑缺陷、错误配置以及自动扫描工具遗漏的其他弱点。

评估期间

9. 进行漏洞扫描

漏洞扫描是评估过程的第一步。它涉及使用自动化工具来识别组织的 IT 基础架构和应用程序中的漏洞。扫描将生成一份报告，其中概述发现的任何漏洞以及缓解或消除这些漏洞的建议。

定期进行漏洞扫描很重要，因为攻击者会不断发现和利用新漏洞。通过定期进行漏洞扫描，您可以掌握任何潜在的安全风险，并在它们被利用之前采取措施缓解它们。

10. 进行手动笔测试

虽然漏洞扫描工具可以识别组织系统、应用程序和网络中的潜在漏洞，但它们无法准确评估每个漏洞的严重性和潜在影响。手动渗透测试可以通过测试自动化工具可能遗漏的漏洞，帮助对组织的安全状况进行更全面的分析。

在漏洞评估过程中，您必须过滤掉误报，因为这些会导致浪费您宝贵的资源，包括时间和金钱。您还必须在评估过程中创建证据和概念证明。手动渗透测试还可以帮助您验证漏洞扫描结果的准确性，方法是对识别出的漏洞进行测试，以确定它们是否有效和可利用。

11.分析漏洞并确定优先级

应对漏洞扫描和手动测试的结果进行分析，以确定每个漏洞的严重性和被利用的可能性。应根据漏洞的严重性和利用的可能性对漏洞进行优先级排序。应首先解决可能被利用的高严重性漏洞。

漏洞的严重程度通常由以下因素决定

• 如果攻击者成功利用漏洞，他们将获得的访问级别或特权
• 易于利用
• 对组织资产或数据的潜在影响

例如，允许攻击者获得对关键系统的管理访问权限的漏洞将被认为比允许他们查看敏感信息的漏洞更严重。

剥削的可能性取决于以下因素

• 系统或应用程序的受欢迎程度
• 利用漏洞所需的访问级别
• 漏洞利用工具或技术的可用性

影响广泛使用的应用程序并且在公共域中具有可用漏洞利用的漏洞比影响不太流行的应用程序并且需要高级技术技能才能利用的漏洞更有可能被利用。

评估后

12.报告调查结果

评估结果应记录在报告中并与主要利益相关者共享。该报告应包括执行摘要、已识别漏洞的详细信息以及补救建议。

13.制定补救计划

补救计划应解决评估期间发现的漏洞。该计划应包括补救时间表并确定解决漏洞所需的资源。

14. 实施补救

应按整治计划实施整治。这可能涉及应用补丁、更新配置或实施新的安全控制。

15. 进行后续评估

应进行后续评估以确保已修复漏洞并且未引入新的漏洞。