学习的语言漏洞评估:关键安全你应该知道
![](http://www.yyueer.com/sites/default/files/images/articles/Blog-Header-LanguageVA.jpg)
你介绍漏洞评估不需要困惑——让我们复习的关键条件。
当你新漏洞评估(VA)——或任何其他网络安全领域,对于这个问题——过程的某些方面似乎不熟悉的或令人困惑。术语尤其如此;网络安全技术作为一个整体有一长串的专业术语。
现在,让我们必须清楚:你不必学习所有的单词及其定义从上到下。但重要的是你让自己意识到有关语言和关键术语安全从业者每天使用,同时导航网络战壕。这里有一个简短的介绍。
真正的脆弱性的定义
也许最重要的一点要记住当学习漏洞评估的基本原理的实际意义这个词“漏洞”。The simplest accurate description is "any weakness in your network that can be exploited." It may be something as seemingly minor as a legacy application, or an app that's commonly used but doesn't feature the most recent patches. A vulnerability could also be a host on the network that lacks modern protections like next-generation firewalls or anti-malware features.
请记住,“漏洞”不是同义词词如“恶意软件”、“病毒”,“木马”或任何其他的词描述常见的网络威胁。这些网络安全危害往往出现利用漏洞,存在在您的网络或一些部分资产连接(如电脑、移动设备或操作技术如网络交换机和控制系统)。
除了知道漏洞的精确定义,至关重要的是要理解,并不是所有的漏洞都是平等的。有些人可能只有轻微的负面影响性能或只影响网络的一小部分。别人会对你构成明显而直接的危险环境,要求尽快修复。
可以说是最著名的测量来评估这些威胁普通危险得分系统(CVSS),1论坛规模设计的事件反应和安全队(第一个)网络安全组织。虽然对初学者有用值得你去了解,但不应该是唯一的分数你使用:其标准没有考虑大量的漏洞,也无法分析对这些缺陷的可能性有多大被攻击者利用。(站不住脚的预测优先级过程可以更有效地评估漏洞的影响,帮助你优先考虑漏洞制定更好的管理策略)。
理解网络威胁的分类
漏洞评估另一个点的混乱是广泛的术语用来描述网络威胁的范围。许多网络安全讨论调用术语恶意软件或“恶意软件”,但这些只是了解这个话题可能想知道之间的区别是这个词和“病毒”。
功能上,并没有太多的区别——病毒是恶意软件。但恶意软件是一个有效的类别名称,而不是“病毒”。网络威胁减少恶意软件的伞下包括:2
- 病毒:恶意代码,一旦触发通过用户操作就像打开附件,可以控制现有的应用程序在一个主机“繁殖”本身和传播到网络上的其他设备。
- 蠕虫:独立的恶意软件,也能够堂吉诃德(没有人工干预)扩散到其它主机。3
- 特洛伊:恶意软件伪装成程序或文件的用户的需求。
- 间谍软件:监控活动被感染的电脑的程序(例如,击键记录者或“formjackers”,用来窃取凭证)。
- 僵尸网络:组自动化,自动传输的感染多台机器和使用它们的应用程序进行分布式拒绝服务攻击。
还有ransomware,这并不是一个特定类型的恶意软件:任何病毒,蠕虫,木马病毒或其他恶意的工具可以满足要求如果利用以获得对一个受害组织和力量——许多的赎金ransomware攻击使用数据加密或访问拒绝作为恐吓战术。4
提醒:所有上面列出的那些东西不是漏洞,他们启用通过漏洞。
漏洞评估和脆弱性管理
也很重要知道术语用来描述之间的差异减少漏洞的过程。例如,术语“漏洞评估”和“脆弱性管理”不可以互换。评估脆弱性管理过程的一个步骤,和漏洞扫描允许您创建的评估。(类似的,记住Nessus专业主要是漏洞评估解决方案;对于一个一体化的套房,看到成立的企业平台产品)。
扫描检查你的网络尽可能广泛或狭隘的选择:整个网络,少量的主机在您的组织或任何一个部门之间的范围。当扫描完成时,你会有一个初步的漏洞评估报告,这是基本的步骤,使进一步的调查。渗透测试与漏洞扫描(有时被错误地混为一谈)或威胁建模可能有利于证明漏洞在控制设置工作,制定最终的后果。
扫描后,测试和其他评估,你可以在环境中应对网络威胁,为了他们的即时性和严重程度。关注的最重要领域潜在风险第一,如客户的金融和个人数据或公开所面临的系统。缓解和/或修复可能简单修补应用程序或操作系统,或者可能需要更重要的删除等操作程序,禁用主机或暂时关闭网络。
平衡安全性和遵从性
最后一次重大terminology-based脆弱性和遵从性之间的差异我们要讨论的是扫描。
Nessus专业等工具可以进行合规扫描确定与政府法规,遵守网络安全协议等行业标准PCI DSS。(这些扫描基于基准测试中心的网络安全(CIS)以及特定的安全技术实现指南[斯蒂格]。)但合规扫描不全漏洞扫描,因为它只搜索问题,让您的系统的缺乏,而不是让你违反或攻击的任何缺陷。你最好的做法是进行两种类型的扫描,然后分别解决他们的结果。
准备好开始了吗?Nessus专业是一个很好的解决方案的人开始漏洞评估。
1。首先,“普通危险得分系统v 3.1:规范文档”
2。社会网络”,恶意软件解释说:如何预防、检测和恢复,”2019年5月
3所示。卡巴斯基,“有什么区别病毒和蠕虫吗?”,2020年2月
4所示。网络安全和基础设施安全机构,“Ransomware指导和资源”
相关文章
- Nessus
- 漏洞扫描