操作系统和应用程序漏洞评估_ManageEngine IT运维服务的技术博客_51CTO博客

近年来，漏洞数量激增，全球组织对如何进行成功的漏洞评估感到困惑。若要解决此问题，需要首先确定要通过漏洞评估过程实现的目标，以便对其进行微调以满足组织的个人需求。

什么是漏洞评估

漏洞管理的目标是始终控制 IT 基础架构风险。漏洞评估过程是漏洞管理生命周期的关键部分，可帮助您确定漏洞对生态系统构成的风险，以便您可以区分应立即确定优先级以及可以按计划修补的内容。但是，在尝试将风险降至最低时，您可能会遇到没有直接方法修复漏洞的情况，或者修复问题会导致不良后果。

如何选择合适的漏洞评估工具

IT 环境非常动态、复杂且不断发展。引入网络的每一个新系统或软件实例，与合作伙伴建立的每一个新连接，以及提供或接受的每项服务都带来了新的风险机会。

遗憾的是，一个可蠕虫漏洞就足以给业务带来重大停机、没收敏感的客户或员工信息、窃取关键业务信息或因不合规而造成的罚款和/或诉讼。在这种情况下，安排每月或每季度扫描不是一个好主意。您的漏洞评估软件应该能够持续扫描您的网络，以便在新漏洞出现时嗅出它们。

最近涉及340名网络安全专业人员的网络风险管理的ESG研究表明，40%的人认为随着时间的推移跟踪漏洞是漏洞管理的最大挑战。为分布式异构 IT 环境提供集中可见性和管理的解决方案对于持续跟踪您的工作并保持在漏洞评估游戏中的领先地位至关重要。

基于风险的优先级划分方法

通常情况下，企业依靠 CVSS 分数和严重性评级来归零要修补哪些漏洞，但它们并非一直有效。例如，微软去年解决的12个公开利用的漏洞中有9个没有被评为重要。因此，必须采用一种解决方案，通过采用更严格的优先级方法来帮助您发现和消除潜在风险。

集成补丁管理

市场上的大多数漏洞管理软件都通过第三方集成提供修补。但是，使用多种工具进行漏洞评估和补丁管理会导致工作流程支离破碎且效率低下。

采用内置补丁功能的漏洞管理软件，帮助您自动关联相应漏洞的补丁，并在同一漏洞管理控制台规范和监控漏洞修复。

针对未修复漏洞的缓解解决方法

在某些情况下，补丁不适用于漏洞。例如，零日漏洞是未知的，供应商没有修补，并且已经被黑客利用。

您遇到类似情况的一个例子是，当一个心怀不满的安全研究人员在公共论坛上发布漏洞详细信息时，供应商对产品中的漏洞警告置若罔闻。在某些情况下，供应商在补丁到位之前无意中揭示了安全公告中漏洞的详细信息。

2020 年 3 月微软SMB v3 中无意中泄露的永恒黑暗漏洞细节就是一个例子。在补丁到来以永久修复漏洞之前，该工具可帮助您快速发现这些漏洞并有效地在所有端点上应用变通办法，以保护您的环境免受新威胁的侵害。

应对这些复杂的挑战需要正确的工具。Vulnerability Manager Plus是一款具有内置修补功能的优先级驱动型威胁和漏洞管理解决方案。

Vulnerability Manager Plus 漏洞评估解决方案

Vulnerability Manager Plus 是端到端漏洞评估软件，它使用不断更新的漏洞信息数据库来帮助您检测全球混合 IT 中的漏洞，并根据各种风险因素评估漏洞;它还有助于促进解决漏洞的适当行动方案。使用 Vulnerability Manager Plus，您可以：

• 识别漏洞及其上下文，例如 CVSS 和严重性评分，以确定优先级、紧迫性和影响
• 了解是否已针对漏洞公开披露任何漏洞利用代码
• 密切关注漏洞在网络中驻留的时间
• 根据影响类型和修补程序可用性筛选漏洞
• 获得基于上述风险因素获取的高调漏洞的建议
• 利用公开披露的漏洞和零日漏洞的专用选项卡，并利用变通办法在修复程序到来之前缓解它们
• 隔离和识别关键资产中的漏洞，即保存关键数据的数据库和 Web 服务器，并执行关键业务运营

如何使用 Vulnerability Manager Plus 进行漏洞评估

Vulnerability Manager Plus 是一款以优先级为重点的威胁和漏洞管理解决方案，具有内置补丁管理功能。Vulnerability Manager Plus 利用多用途代理技术持续监控所有端点，无论它们是在本地网络中、远程位置还是在移动中。这可确保发现影响终端节点的所有漏洞并将其显示在 Web 控制台中。

许多组织面临太多漏洞，但修补它们的时间太少。例如，让所有Windows机器在星期二补丁日后的第二天更新所有新发布的补丁是不切实际的。但是，攻击者在公开披露后的一周左右内越来越成功地开发漏洞。这就是为什么组织需要巧妙地修补，而不是试图更快地修补并部署未经测试的补丁，这可能会破坏网络并延长停机时间。漏洞不会带来同等的风险。一些漏洞迫在眉睫，甚至在没有黑客煽动的情况下很容易被利用。这就是Vulnerability Manager Plus基于风险的漏洞评估流程发挥作用的地方。

如何通过基于风险的漏洞评估流程确定高度关键漏洞的优先级

漏洞评估过程的主要目标是确定高风险漏洞的优先级。漏洞的风险通常对应于它的可利用性，以及如果基础设施被利用将产生多大的影响。严重性评级和通用漏洞评分系统 （CVSS） 评级仅为您提供对风险的肤浅评估。了解为什么在漏洞评估过程中完全依赖 CVSS 分数会给您带来大量被归类为严重但几乎没有风险的漏洞。

除了 CVSS 分数之外，Vulnerability Manager Plus 还为您提供了一套全面的风险因素，以执行基于风险的多变量漏洞评估过程。其中包括：

• 利用可用性和当前开发活动
• 攻击者在利用漏洞时可以执行的操作类型（威胁影响类型）
• 漏洞未修补的天数
• 受影响的资产数量和资产关键性
• 补丁可用性

了解漏洞利用可用性和漏洞利用活动

了解漏洞利用是否公开可用于漏洞对于确定漏洞优先级至关重要。这些是需要立即关注的漏洞，因为漏洞利用是野外的，任何人都可以利用它来闯入您的网络并窃取敏感数据。如果仅根据严重性修补漏洞，则可能会错过其他容易被利用的威胁性漏洞。在 2019 年 Microsoft 解决的 12 个公开利用的漏洞中，有 9 个仅被评为“重要”，而不是“严重”。Vulnerability Manager Plus 除了提供漏洞利用可用性信息外，还可以通过不断更新的安全新闻源让您了解新披露漏洞的漏洞利用活动。这有助于您立即集中精力保护端点免受这些备受瞩目的问题的影响。

确定漏洞在端点中潜伏的时间

一旦漏洞信息出来，时钟就会开始滴答作响，安全团队和威胁参与者之间的博弈就开始了。跟踪严重漏洞潜伏在端点中的时间至关重要。此外，一个最初看起来不那么严重的漏洞可能会随着时间的推移被证明是致命的，因为攻击者最终开发的程序可以以你从未想象过的方式最大限度地利用这些缺陷。最佳做法是立即解决具有可用漏洞利用的漏洞以及严重漏洞。归类为“重要”的漏洞更难利用，但仍应在 30 天内修复。任何被认为优先级低于“严重”或“重要”的漏洞都应在 90 天内修复。

在漏洞评估过程中包括资产关键性

有些资产比其他资产更重要。由于 Web 服务器位于网络的外围并暴露在互联网上，因此它们很容易成为黑客的目标。在定义评估范围时，数据库服务器（记录客户的个人信息和付款详细信息等大量信息）也应优先于其他资产，因为即使是此类业务关键型资产上的较低评级漏洞也可能带来高风险。Vulnerability Manager Plus 为您提供资产的向下钻取视图，显示其上是否安装了 Web 服务器、数据库或内容管理系统，以及这些特定安装上的漏洞。

如果发现中等到严重级别的漏洞影响了更大比例的 IT 资产，那么只有立即修补它们以降低整体风险才有意义。在这种情况下，您可以利用 Vulnerability Manager Plus 通过单个补丁部署任务清除多个端点中的一组漏洞。

根据影响类型对漏洞进行分类

尽管易于利用在风险评估中起着重要作用，但可利用的漏洞并不一定值得攻击。事实上，攻击者关注漏洞不仅仅是因为他们有现成的漏洞利用或需要较少的精力来利用，而是因为漏洞进一步推动了他们的目标。只有这样，可用性和漏洞利用的难易程度才会被考虑在内。Vulnerability Manager Plus 具有过滤器，可轻松识别造成特定影响的漏洞，例如拒绝服务、远程代码执行、内存损坏、权限提升、跨站点脚本、敏感数据泄露等。

如何自动化组织的补丁管理计划

可以安全地假设漏洞是对网络的持续威胁。需要手动干预才能始终如一地准确评估和解决备受瞩目的漏洞。但是，考虑到新漏洞出现的速度，手动很容易忽略某些关键漏洞，也很难减少网络中未修补漏洞的总数。

当您专注于最重要的事情时，让 Vulnerability Manager Plus 的内置修补模块通过自动执行修补（包括缺失补丁检测、下载、测试和部署到 Windows、Mac、Linux 和 300 多个第三方应用程序）的整个修补周期来定期清理网络中的漏洞。全面的修补功能使您能够选择要自动化的补丁标准、要修补的特定目标计算机/自定义组、灵活的部署策略、补丁测试和批准以及根据您的业务需求部署计划。此外，您可以使用预构建的基于周二补丁日的部署策略，将修补与每月的周二补丁日等同步。

如何处理无法修补的情况

当有关高度关键漏洞的详细信息已发布，但供应商尚未提供补丁时，请务必保持警惕并迅速采取行动保护您的资产。下面介绍了一些常见事件以及 Vulnerability Manager Plus 如何帮助您尽早缓解它们。

• 案例一：零日漏洞
  如果在供应商确认安全漏洞之前暴露漏洞的概念验证 （PoC） 代码，则可能会发生零日漏洞利用。这些漏洞仍未公开和修补，甚至在供应商知道之前就可能在野外被利用。
• 案例2：安全研究人员公开披露的漏洞
  心怀不满的安全研究人员可能会向公众发布漏洞的详细信息，以促使反应迟钝的供应商及时修复产品安全漏洞。还有一些供应商在补丁到位之前意外泄露了有关安全公告中的漏洞的信息的情况。一个很好的例子是最近泄露的Microsoft SMB v3中EternalDarkness漏洞的细节。

Vulnerability Manager Plus 如何帮助您加强网络免受零日漏洞和公开披露的影响

• Vulnerability Manager Plus 包含一个专用选项卡，可将零日漏洞和公开披露的漏洞与其他漏洞分开显示，以便您可以立即识别并响应它们
• 通常，需要两个或更多漏洞才能成功发起零日攻击。通过自动修补，您可以及时了解所有操作系统和应用程序的最新更新，从而阻止攻击者的尝试
• 供应商通常会在进行修复时快速发布用于公开披露的解决方法。您可以使用 Vulnerability Manager Plus 的预构建缓解脚本立即将这些解决方法部署到所有受影响的计算机
• 只要您的防病毒保护是最新的，您就应该在新的零日威胁的短时间内受到保护。防病毒审核功能使您能够嗅探出防病毒程序缺失、已禁用或过期的终结点。如果您的系统运行的防病毒应用程序过时，则可以利用 Vulnerability Manager Plus 的补丁管理功能，使用最新的定义文件使防病毒软件保持最新状态
• 应对零日威胁的最佳选择是加强 IT 生态系统的安全性。利用安全配置管理功能阻止易受攻击的端口、禁用旧协议、关闭不安全的防火墙连接，以及禁用具有过多权限的意外网络共享，这些权限通常作为恶意软件横向通过网络的载体
• 一旦补丁可用于零日威胁和公开披露，Vulnerability Manager Plus 就会在控制台的通知栏中提醒您，以便您可以立即应用它们来永久修复漏洞

您还可以实施进一步的安全控制，例如隔离受影响的计算机或将应用程序列入黑名单，直到使用应用程序控制解决方案提供修补程序或解决方法。

• 案例 3：软件报废
  运行报废软件的风险大于其好处。生命周期结束的软件不会从供应商那里收到安全更新，并且将永远容易受到攻击。旧版操作系统通常无法运行最新的应用程序，这意味着它被遗留应用程序所困，最终将达到生命周期的终点。受监管行业的企业也可能因运行过时系统而面临巨额罚款。Vulnerability Manager Plus 可帮助您跟踪哪些应用程序和操作系统即将或已经达到生命周期的终点。一旦它们达到生命周期结束，您可以采取进一步的措施，例如实施补偿控制，例如基于主机或网络的入侵防御系统，但建议您迁移到最新版本的生命周期结束软件，以一劳永逸地消除风险。

如何决定何时不打补丁

并非所有漏洞都需要修补。有时，修补可能会引入超出其好处的新问题。让我们看一下一些不太正常的情况，当我们可以推迟或不修补时。

将不太关键的补丁推迟到业务关键型服务器

服务器在允许更改和重新启动计算机时的时间窗口很短。始终建议仅在必要时修补它们，并推迟解决不太关键的漏洞的补丁，以防止长时间停机和中断正在进行的业务活动。Vulnerability Manager Plus 使您能够创建自定义组，以便隔离服务器，例如专用于任务关键型目的的服务器。完成此操作后，您可以在计划自动补丁部署到这些服务器组时排除不太关键的补丁。

减少有问题的补丁

在 Vulnerability Manager Plus 的自动补丁测试期间，某些补丁可能会出现问题，并且在部署到生产网络时可能会导致停机或中断应用程序功能。在这些情况下，Vulnerability Manager Plus为您提供了拒绝这些补丁的选项，并等待供应商发布补丁的修订版本。

Vulnerability Manager Plus 提供了大量交互式仪表板，以图形和图表的形式为您提供有关漏洞所需的所有情报。查看趋势和其他筛选器以做出明智的决策。 Vulnerability Manager Plus 仪表板中提供的图表和图形如何帮助进行有效的漏洞评估。