漏洞管理原则

1。脆弱性管理概述

---

脆弱性管理是什么?

是一个正在进行的项目,使用各种技术和工具来识别网络风险跨整个组织,使他们与你的业务目标和目标,然后及时修复漏洞的安全网络,保持你的操作安全。

漏洞管理不是一个单一的工具或者资源。与人这是一个正在进行的项目、政策和流程,朝着共同的目标共同努力,确保你的攻击表面和网络风险尽可能小。

修复漏洞攻击你的整个表面是一个艰巨的任务。现实是,体积的资产在大多数组织中,加上200多潜在的攻击媒介,使它具有挑战性的安全团队补丁和纠正。

甚至当你考虑大多数组织更具挑战性没有合适的工具来洞察所有的资产在整个机构—传统,云,移动,容器或serverless, web应用程序开云app安全 资产。

添加到真实世界的现实问题,许多资产有多个漏洞在你知道它之前,你的安全团队是埋在一座山的漏洞。

存在的漏洞和不同修复功能越多,越有可能是攻击者可以利用你的攻击表面。

这就是脆弱性管理。

脆弱性管理带来什么?

有五个核心步骤有效的脆弱性管理。这些步骤与你一致接触网络的生命周期。

步骤1:发现

识别和地图你所有的资产在你所有的计算环境

第二步:评估

理解的你所有的资产包括漏洞,配置错误和其他安全卫生指标

步骤3:优先考虑

与上下文,这样你就可以理解你的风险优先修复基于资产临界、脆弱性严重程度和环境威胁

第四步:修复

优先考虑先解决哪暴露,然后使用适当的修复过程

第五步:测量

测量基准,然后你接触你的团队可以做出更好的业务和技术相关的决策

有什么区别脆弱性管理和漏洞评估?

脆弱性管理和漏洞评估是不同的,但互补的实践。

脆弱性管理是一个持续的计划,利用各种工具和流程来帮助您识别所有的资产在你的攻击表面和漏洞。它还可以帮助您计划如何减轻问题,纠正缺点,提高整体安全态势。

漏洞评估,另一方面,是一个一次性的项目进行定期确认你所有的资产和漏洞。

一般来说,脆弱性评估,这是不一样的一个漏洞扫描,有一个指定的开始和结束日期。这是你的攻击表面在一个特定的快照时间点。

脆弱性评估你的整体脆弱性管理计划的一部分,这有助于你不断识别和解决网络风险。

漏洞管理不同于基于风险的脆弱性管理怎么样?

传统的脆弱性管理实践,我们称之为遗留漏洞管理,给你一个理论观点的漏洞和风险。它揭示了一个漏洞的威胁可以介绍到你的环境,但它不会发现真实风险的威胁。

没有明确了解实际风险,你的安全团队可能会陷入试图修复漏洞,可能不构成实际的风险,可以发现和修正这些小姐更关键的漏洞可能影响您的组织。

添加一个基于风险的方法脆弱性管理实践可以帮助您更好地理解状况的威胁环境中你有见解的潜在业务影响弱点在你的攻击表面。

2。资产和漏洞

---

什么是资产?

资产是硬件或软件在您的IT环境。这可以包括传统IT资产,如服务器、网络和桌面电脑,而且其他设备如智能手机、平板电脑、笔记本电脑,虚拟机,软件即服务(SaaS),云技术和服务,网络应用和物联网设备。

连续资产发现、评估和管理是重要的组件在你的整体脆弱性管理程序。

表面的攻击是什么?

现代它攻击表面由多个接触点(你的IT资产)在攻击者可能会利用你的网络。这些利用往往导致漏洞,攻击者可以利用你的攻击表面。历史上,攻击表面由服务器和网络等传统IT资产,但今天的攻击表面是巨大和日益增长的。现在还包括智能手机等移动设备、桌面和笔记本电脑,虚拟机,云基础设施,web应用程序容器和物联网设备。

许多组织已经挑战跟上整个企业的所有资产可见性。进一步复杂化的额外的挑战的减轻和医治庞大体积的漏洞发现大多数漏洞评估程序。

这就是为什么重要的是要建立一个健壮且可伸缩的脆弱性管理程序,不断发现和评估你所有的资产和漏洞,降低网络风险。

这里有一些提示,以帮助你评估你的攻击表面作为你的漏洞管理计划的一部分:

1. 确定你所有的资产,无论类型。
2. 确定每个所在。
3. 确定每个资产管理和访问。
4. 表明资产类型:云、移动、传统,物联网等。
5. 确定相应的资产经营至关重要和优先考虑。
6. 会发生什么,如果一个漏洞评估影响每个关键资产。

什么是安全漏洞?

硬件或软件的安全漏洞是一个弱点攻击者可以利用系统妥协。更普遍而言,他们“bug”或编程错误。

矫正一些漏洞的修补,它本质上是在代码修复问题。系统越复杂,越行代码可能会有意义有更大的几率在代码的编程错误。

漏洞也可以发现当系统配置,创建额外的攻击者的机会。这些漏洞通常可以矫正修复错误配置问题。

这里有一些其他的方式攻击目标安全漏洞和弱点:

• 开发错误配置和应用补丁的系统
• 网络钓鱼:发送伪造的电子邮件看起来像他们真正来源诱骗人们暴露敏感信息。
• 凭据偷:攻击者试图收集从一个违反用户名和密码,然后使用它们来访问其他网站。
• 恶意软件:恶意软件给攻击者系统访问。
• 拒绝服务(DoS)和分布式拒绝服务(DDoS):洪水攻击消耗带宽,所以系统不能响应服务请求。
• 跨站点脚本(XSS):恶意代码在网站目标游客。
• 中间人(MitM):影响用户通过不安全的网络,如公共WiFi。
• 结构化查询语言(SQL)注入:恶意代码在服务器上使用SQL访问敏感信息,否则不会访问。
• 零日攻击后:利用系统的威胁是公开宣布之前发布的补丁或修复。

3所示。漏洞扫描

---

漏洞扫描器是什么?

漏洞扫描器是一个自动化工具你可以用在你的攻击表面发现的漏洞。

有两种主要类型的漏洞扫描、:

• 受到信任:使用登录凭证的扫描发现在资产详细信息安全问题,系统或网络
• Non-credentialed:扫描不需要凭证和目标开放端口,协议和主机上的公开的服务

另外,您的组织可以选择:

• 执行内部脆弱性扫描:扫描组织内部发现攻击者可以通过您的网络的方法
• 外执行的外部脆弱性扫描:扫描您的组织发现漏洞

常规漏洞扫描漏洞管理程序的一个重要组成部分和连续漏洞扫描可以帮助你进一步减少网络的风险。

活跃的扫描仪

活跃的漏洞扫描您的网络和资产的创建一个详细的图片在一个特定时间点来确定系统配置错误,漏洞和其他安全问题在你的攻击表面。

主动扫描生成网络流量和网络与设备交互。它将数据包发送给远程目标,创建一个快照在那一刻你的网络。

然后比较活跃的服务和应用程序插件数据库是否存在任何漏洞。

与被动扫描,我们将在下面讨论,主动扫描给你额外的洞察力包括开放端口、安装软件、安全配置设置和已知的恶意软件。

扫描变体包括其他类型的活跃

• 未经身份验证的扫描
• 验证扫描
• 基于代理扫描

主动扫描是理想的设备操作在你的聚合/环境。它会给你在你的网络洞察哪些资产,而应用程序、库和安装服务,任何弱点在您的系统和用户详细信息,组织和安装软件。

主动扫描也可以帮助你配置评估和发现使用的关键系统和应用程序的默认用户名和密码。它也是有用的恶意软件检测和可以帮助你发现后门和错误的文件哈希。

主动扫描集成到站得住脚的脆弱性管理(原名Tenable.io)。

站得住脚的,你可以选择从各种活跃的扫描选项包括:

• 随需应变,这是由用户手动启动。
• 安排扫描,可以设置为自动启动每日,每周或每月。
• 依赖扫描,当父母预定扫描完成发射。相关的扫描可以为计算机到其他相关的扫描。

而活跃的扫描是一个重要的整体脆弱性管理计划的一部分,这只是一个捕获你的攻击表面在一个时间点。它不包括其他设备,如平板电脑、智能手机或笔记本电脑,只能定期出现在您的网络。

还有一个挑战积极scanning-potential中断。

虽然主动扫描可以帮你找到你可能有漏洞的地方,你不应该使用任何资产,可以体验停机如果他们扫描。这可能包括,但不限于,对你的组织系统关键基础设施、医疗设备和工业系统。

有资格的扫描

受到信任扫描,也称为认证扫描,远程登录到设备来检查他们从内向外。这些扫描允许您检查设备由内而外。受到信任扫描收集更多的信息关于你的配置设置和软件是否已经感染了已知的恶意软件。

你不需要安装软件资产进行证件扫描,但扫描仍可能会导致一些混乱,因为他们可以利用网络带宽和处理能力。

受到信任扫描可能更适合在上层系统或环境。这些扫描通常可以一起使用未经身份验证的扫描,这样你就可以获得更好的洞察力从内向外和由外向内。

代理

代理扫描提供详细信息和查看每个设备从一个由内而外的方法。这些扫描通常进行环境控制系统和安装在一个设备或服务器功能。代理扫描的设备是一个好主意,不是经常(或连接)连接到您的网络。

代理扫描可以用来发现恶意软件在设备上,寻找错误配置,发现任何漏洞。

代理通常很容易安装在设备和一般不侵入,代理扫描有几个缺点,特别是相关资源。因为他们是设备上,他们使用权力,带宽,在你的磁盘和内存空间。同时,设备上安装意味着你应该仔细地分析代理和测试它之前你有选择地安装设备,特别是在OT环境中。

图像注册表

图像注册表是一个安全的过程,您可以使用您的软件是在构建/生命周期的发展阶段。当你创建一个图像注册表时,它可以持有,然后扫描图像资产包括公共云实例和容器。图像注册表的好处是它可以帮助你发现潜在的安全问题在你新的软件部署。您还可以使用图像注册表对任何开源软件或组件您的组织使用。

4所示。网络监控

---

什么是网络监控和它如何帮助我管理漏洞?

网络脆弱性的班长帮助你找到漏洞,配置错误和其他安全问题在传统的IT基础设施,包括网络、服务器、操作系统和应用程序。

Web应用程序扫描是相似的,但专注于web应用程序。Web应用程序使用扫描仪不仅对第三方应用程序,但也可以用来测试内部应用程序。

被动的网络监控

当资产连接到你的网络,你应该能够快速确定授权,如果没有,反应。

被动网络监控给您的团队持续洞察应用程序和操作系统中使用您的网络,连接到您的网络,从数据传输,哪些主机是活跃的,当一个新的主机变得活跃,哪些端口/服务是活跃的和你inter-asset连接。

无源网络监控使用深层数据包检测来分析网络流量。它是理想的和设备操作的聚合/ OT环境和可以帮助您发现和确定有源网络资产和漏洞,以及活跃的已安装的应用程序和服务。

被动网络监控是健康整体网络的一个重要组成部分。有时,主动扫描并不是一个选项,你必须避免它,因为它可能会破坏操作。而不是仅仅依靠主动扫描或代理监控、被动扫描让你了解发生了什么在你的攻击面,给你更多的可见性。

最伟大的事情之一被动网络监控是接近实时的资产发现意味着你可以消除盲点可能只有通过定期主动扫描。

被动网络扫描也对寻找漏洞在工业控制系统(ICS)和监督控制和数据采集系统(SCADA),这两个可以被主动扫描。

Nessus网络监控

站得住脚的,您可以使用Nessus网络监视器(NNM)被动地分析你的网络流量和消除盲点完全可见性攻击你的整个表面。这是一个安全、非侵入性的方式来发现和监控你的敏感的系统。

Nessus网络监控作为一个传感器站得住脚的脆弱性管理和成立安全中心。

以下是一些使用NNM的好处:

• 非侵入性的连续监测和评估你的网络
• 网络流量监控包级别的可见性服务器和客户端漏洞
• 未来资产的可伸缩性发现和脆弱性监控所有的设备,包括虚拟系统和云服务
• 自动基础设施和漏洞评估
• 脆弱性检测在通信系统中,包括协议和应用程序
• 识别应用妥协
• 综合资产发现你所有的设备,包括OT设备和应用程序、服务器、端点、web应用程序、网络设备、虚拟和云计算设备,BYOD /移动设备和越狱iOS设备

被动网络监视工具对我的组织是正确的吗?

这里有一些建议供评估被动网络监视工具可能是最适合您的组织。你的被动监控应该:

• 提供完整的可见性你的网络流量
• 传感器应该能够连接到一个物理水龙头或跨度端口。虚拟交通,如在云环境中或在你的虚拟基础设施,你的被动网络监视器应该能够运行在一个正确配置的虚拟机
• 支持常见的TCP和UDP协议
• 系统支持的所有协议可以使用:SCTP, ICMP, IPIP,国内流离失所者和OT-BACnet CIP, DNP3,以太网/ IP,组成,IEC 60870-5-104, IEC 61850, IEEE C37.118 Modbus / TCP, OPC、PROFINET和西门子S7。
• 能够识别所有的资产在你的攻击表面,用你的协议
• 能够识别所有已知的漏洞,影响你的资产
• 具备警报发送给你的安全信息和事件管理(SIEM)发现每当新资产的解决方案。

在站得住脚的Nessus被动的网络监控,监控传感器,以便不断的发现所有活跃的网络资产,促进漏洞评估。Nessus网络监视器也集成到站得住脚的脆弱性管理(原名Tenable.io)。

5。补丁管理

---

补丁管理是什么?

你使用更新系统补丁管理的过程和软件在您的组织。修补漏洞管理的一个重要组成部分,是一个有效的方法来降低风险为您的组织。

因为体积的系统和应用程序在你的攻击表面,因为供应商不断发布新补丁,你可能很难知道哪些补丁你应该做的,然后如何优先考虑休息。

修补优先直接相关的风险评级与漏洞。如果你的评分系统脆弱性高或关键影响,开始在那里,然后你的方式你的列表排名较低的弱点。

就像资产发现,很难得到一个全面的调查你的修补需要没有漏洞管理平台的帮助。这是另一个站得住脚的可以帮助的地方。

站得住脚的脆弱性管理仪表板,例如,可以显示你资产需要哪些补丁。站不住脚的脆弱性优先级评级(冲程体积),你可以看到哪些补丁为组织最重要的,你应该集中注意力。

你甚至可以过滤补丁列表细看。举个例子,如果你想知道有多少补丁发布在过去的90天,您可以过滤你的观点和发现,包括为您的组织是最关键的。

一些补丁能给您的组织带来麻烦,所以你可能想要检测前一个补丁之前,在一个活跃的环境中部署它。这将给你一个机会,看看是否有冲突或问题之前负面影响你的实际操作。

是你的补丁管理系统有效?

这里有一些问题要问来帮助你评估你的补丁管理系统的有效性:

你的团队应用所有安全补丁吗?

由您的组织采取政策是否你的团队应该覆盖所有安全补丁。如果你这样做,Nessus和成立安全中心(原Tenable.sc)可以帮助您确定是否你的补丁系统的工作原理。如果您的组织不需要100%的覆盖率,这可能是有用的外部审计发现安全风险尚未解决的修补过程。

多快你应用补丁吗?

组织也应该创建一个策略解决的时间表应该安装补丁。您可以使用Nessus和站得住脚的安全中心测试差异在你的政策和进展报告。

你在你的补丁管理项目包括新主机吗?

你应该包括新主机补丁管理流程。当你添加服务器或桌面的基础设施,您可以使用站得住脚的安全中心为这些设备监控你的补丁周期。

嵌入式设备呢?

安全问题也存在于嵌入式设备,如交换机、防火墙、路由器、打印机。您可以使用Nessus和站得住脚的安全中心发现补丁问题在你的嵌入式设备。

更多地了解补丁管理有效性,看看。”测试你的补丁管理系统的有效性”。

为什么有些补丁失败?

即使有一个有效的补丁管理系统,有时补丁只是失败。这里有几个例子,为什么会发生这种:

• 你的设备,就像一个UNIX或Windows服务器,可能太安全。可以对它进行配置,远程用户帐户或本地用户代理将补丁没有权利这样做。
• 如果您的服务器已经过时的网络设置,例如,陈旧的DNS服务器或本地路由器看起来活着但过期,你的补丁可能会失败,因为有限的网络访问。
• 防火墙规则会影响系统,导致补丁失败。
• 不被认为是可能有补丁依赖关系。
• 如果你有有限的空间在你的驱动器或分区,补丁可能会失败。这也适用于自解压补丁。
• 您可能已经有限的带宽,防止补丁交货和安装。

想知道更多关于补丁管理和潜在的失败点?看看这个博客。

6。漏洞管理解决方案

---

我为什么需要脆弱性管理?

有超过200的潜在的攻击媒介,无数资产和不断变化的工作环境(人、地点、技术等),安全团队不能补丁和修复所有漏洞,但攻击者不断寻找方法渗透到这些弱点。

在2020年1月1日至8月的第一个星期,国家标准与技术研究院(NIST)国家漏洞数据库(NVD),分析了几乎12000个常见的漏洞和风险敞口(cf)。

而这些漏洞可能会作为一个真实的开发方法,可以有针对性的在任何给定的时间。

虽然漏洞明显高/关键最引人关注的是,攻击者不关心分数,他们关心的是最简单的方式进入你的网络。

随着攻击者针对您的组织的机会,它从来没有更重要的是要理解脆弱性管理的价值,探索最佳实践和采取的战术你可以把今天的工作来保护你的网络。

这就是为什么有一个漏洞管理程序一重点优先考虑风险和增加对所有组织修复efficiencies-is重要,无论多么大或小。

如何选择一个漏洞管理解决方案?

而你的组织将有独特的需要时,选择一个漏洞管理解决方案,有一些核心注意事项适用各行业。

这里有六件事要考虑当评估脆弱性管理供应商以满足您当前和未来的需求。

1。连续资产发现

你的漏洞管理解决方案应该提供广泛的报道,包括连续资产发现并完成你的攻击表面可见性。

考虑一个解决方案:

• 网络扫描仪
• 代理端点经常off-network,例如,笔记本电脑或移动设备
• 无源网络监控,不断发现资产和漏洞
• 云连接器和pre-authorized云扫描仪来监测和评估云实例
• 在部署前图像扫描仪静态容器图像
• Web应用程序扫描
• 集成云,CMDB CI / CD,票务/飙升和其他技术

2。评估超出静态扫描

资产评估应超过运行扫描。你的漏洞管理解决方案应该便于收集和评估数据,以确定安全问题。

考虑一个解决方案:

• 容器评估之前部署与集成到开发人员的工作流程
• 基于云的工作量评估需求api的可见性
• 被动探测,OT的设备不会影响系统的性能和可用性

3所示。先进的优先级

你的漏洞管理解决方案应该利用机器学习来帮助您的团队综合脆弱性数据可以发现盲点和隐藏的模式来更好地理解组织的风险。

考虑一个解决方案:

• 缺陷优先级
• 数据输入的优先级
• 研究和数据团队
• 自动资产得分,可以扩展

4所示。自动报告和基准测试

你的脆弱性管理解决方案应该提供开箱即用的报告为您的基本需求,包括一个强大的和证据确凿的API来定制和自动报告为你的团队的需求,业务目标和遵从性。

也是一个好主意选择一个解决方案,包括基准指标,这样你就可以评估你的内部脆弱性管理项目成功和同行组织。

5。简单的定价和许可

你的漏洞管理解决方案应该简单明了的定价。考虑解决方案的授权模型,不惩罚你使用一个API或优先威胁。

6。可伸缩性

你的漏洞管理解决方案应该能够规模随着时间的推移,随着组织的成长而变化。寻找一个解决方案,它可以与你跟上和适应。

7所示。脆弱性管理最佳实践

---

脆弱性管理最佳实践

攻击者可以利用方法有很多缺点在你的攻击表面。一个安全漏洞可以组织有毁灭性的影响。

这里有一些最佳实践可以适用于你的漏洞管理程序来促进成功:

资产识别和管理

首先,识别组织中所有的资产,然后确定每个资产所在,如何使用,负责组织,是多么重要。

接下来,跟踪和记录资产与其他资产在你的网络关系和依赖性。如果攻击者妥协,它打开额外利用什么路径?即使一个资产排名并不重要,检查相互依赖关系,可能使你处于危险之中。

你也应该评估当每个设备连接和断开你的网络。你可以通过网络访问控制系统这一观点,回顾DHCP日志,回顾DNS服务器日志和安装漏洞扫描代理定期扫描设备上。

脆弱性识别

一旦你了解你的资产,你可以开始评估每一个漏洞,包括每个弱点的严重风险。

仔细看看它是多么容易,可能对攻击者利用每个漏洞和潜在的损害,如果成功地攻击。一旦你了解漏洞临界,可以优先考虑如何减少和纠正每一个安全问题。

常规漏洞管理

传统、脆弱性管理依赖于周期时间点漏洞扫描发现和评估,但来改善你的安全姿势,你应该始终,不断扫描你的攻击表面发现问题并纠正他们减少攻击的可能性。

之间的连续扫描防止盲点手动扫描和可以帮助你找到新的安全问题,可以在任何时间发生。通过扫描更多的常规和医治,你可能会发现更少的弱点在每个单一的扫描。

风险评估

你可能有大量的多样化的资产在你的组织和每个设备没有相同级别的安全性。

这意味着你需要确定每个资产的安全级别,这样你就可以计划措施,优先解决它。确定每个资产的价值是你的组织和暴露水平会帮助您更好地理解你需要做些什么来保护它。

变更管理

因为设备在你的网络经常变化(创建新的安全问题),重要的是要开发一个漏洞管理项目,是灵活的,可以发现和地址更改时发生。这可能是当应用程序更新时,当硬件添加,或者软件升级。

有效的变更管理将帮助您创建过程,以确保新的安全问题迅速得到解决和处理。

补丁管理

因为体积的漏洞传统中发现的漏洞扫描,它可以挑战的有效部署补丁没有重大的停机时间和中断。脆弱性管理程序应该集成补丁和发布管理流程,促进关键资产及时修补。

整合你的补丁管理流程变更管理流程,以确保您的更新和补丁应用,以一种受控制的方式正确,补丁解决了漏洞风险。

移动设备

今天,移动设备可能会使你的攻击表面的重要组成部分。虽然这些设备给用户带来的灵活性,他们可以添加额外的组织和独特的安全风险。这可以进一步复杂的如果你的组织支持自带设备(BYOD)而不是使用公司发行的设备。移动设备管理(MDM)系统是好的,以及代理部署在移动设备上。

减轻管理

你的组织可能有漏洞,没有可用的补丁或补丁当你发现它们。那么你会怎么做?脆弱性管理程序应包括不同的方法来管理这些漏洞,直到他们可以固定。一些有效的方法可能包括增加日志监控,IDS攻击签名更新或修改防火墙规则。

事件响应

脆弱性管理程序有效性的一个测量是多快你对事件的反应。你越快回复安全问题,更大的机会减少组织的影响。事件反应不仅仅是对违反的反应。采取积极主动的方法,所以你总是准备好回应。持续安全监测、过程自动化和警报帮助促进快速反应。

自动化

自动化可以帮助你快速和准确地发现、评估和纠正缺陷在你的攻击表面,特别是对于大系统,那里是一个常数跨网络的数据流和变化。自动化可以帮助你通过数据用更少的时间和更少的错误。