脆弱性评估原则

1. 可变性评估概述

---

?

A级脆弱度评估一种方法你可以发现、分析并减轻攻击面上的弱点,以减少攻击者利用网络并擅自访问系统和设备的可能性

越发扩展攻击面 保护组织不受网络风险挑战脆弱度评估程序可减少组织风险,消除攻击面盲点,发现和分析所有资产,帮助规划修复对组织构成最大风险的脆弱度和弱点

脆弱度评估与脆弱度管理之间有什么区别

漏洞评估脆弱管理不同,但互为补充

脆弱度评估是一次性项目,定期识别所有资产和脆弱度一般来说,脆弱度评估与脆弱度扫描不同,有指定的起始结束日期即时攻击面

是一个持续程序,使用各种工具和程序帮助识别企业内所有资产和漏洞,同时帮助规划如何减轻问题、补救缺陷并改进总体安全姿态

脆弱度评估是总体脆弱度管理程序的一部分,它帮助你持续识别并处理网络风险

2. 资产、脆弱度和攻击面

---

脆弱点是什么

脆弱点指硬件或软件的弱点或漏洞,可用以折中系统并允许攻击者访问您的数据和信息基本说来,它们是错误编程或错误

易损性通常是固定或补救方式,修复代码内问题,即补丁或修复错误配置提高操作安全

系统越复杂 代码线越多 说明编码中编程错误的可能性越大正因如此 操作系统常会收到通知 通知你需要更新修复问题

脆弱度还可见系统配置错误,为攻击者利用系统创造更多机会

攻击者通过漏洞和缺陷攻击组织

• 开发误配置和空机系统
• 钓鱼发送仿真源邮件诱导人们发布信息,如用户名、密码和支付信息
• 证书窃取:因为人们常使用多个网站相同的用户名和密码,攻击者可以从一个漏洞中收集用户名和密码,然后使用密码访问其他网站
• 故障软件恶意软件允许攻击者系统访问
• 拒绝服务分发拒绝服务填充攻击使用带宽,系统无法响应实际服务请求
• 跨点脚本网站恶意代码锁定访问者
• 居中人:通过公共WiFi等无安全网络压缩用户
• SQL结构查询语言注入:在服务器上输入恶意代码并使用SQL访问否则无法访问的敏感信息
• 零日探索:在威胁公开发布后开发系统,但在补丁或其他补丁发布前

顶脆弱类型

上头开放Web应用安全项目OWASP保留顶层漏洞列表,最近更新于2017年OWASP列表深入查看前十大网络应用安全风险风险包括:

1. 注入缺陷包括SQL、noSQL、OS和LDAP注入
   1. 这些缺陷使攻击者不经适当授权访问数据,并可以让用户执行非故意命令而知识不足
2. 中断验证
   1. 这些缺陷使攻击者不经适当授权访问数据,并可以让用户执行非故意命令而知识不足
3. 敏感数据曝光
   1. 攻击者若得不到适当保护,可获取个人信息,如金融和保健数据并用于金融欺诈或身份窃取
4. XML外部实体
   1. OWASP表示,“老或配置差XML处理器评价XML文档外部实体引用外部实体可用文件URI处理器、内部文件分享、内部端口扫描、远程代码执行和拒绝服务攻击披露内部文件
5. 中断存取控制
   1. 访问控件失灵时 攻击者可存取资料文件他们可以修改数据,修改访问权并访问系统内其他未经授权功能
6. 安全误配置
   1. 误配置问题,包括不安全默认配置、误配置和开云存储,是最高安全性问题
7. 跨点脚本
   1. 攻击者使用XSS执行脚本允许用户取用会议并重定向用户到其他网站, 常不通知用户已失密
8. 无安全去序化
   1. 安全解密导致远程代码执行
9. 使用已知易变性组件
   1. 攻击者使用库、模块和框架等组件窃取数据或接管服务器,这些组件与核心应用拥有相同的访问特权。
10. 日志监控不足
    1. OWASP引用研究显示破解时间超过200天,这意味着采伐和监测不足使攻击者有更多时间在系统内移动而不为人注意

?

今日攻击面不再包括服务器、桌面机和网络等传统IT资产上头现代攻击面网络上时断时续的动态设备,如笔记本电脑、智能手机和平板电脑, 以及物联网设备、操作技术、容器和云环境

攻击者知道大多数组织 努力跟上可见度 他们的所有资产并增加挑战 减轻和补救容积 脆弱度评估程序发现 并可能感觉攻击者总有优先正因如此,开发强健、灵活和可扩缩脆弱度评估程序非常重要 以持续发现和评估所有资产和脆弱度 降低整体网络风险

观察攻击面时,这里有几个关键步骤,您不想错过:

1. 识别贵组织所有资产弱点评估解决方案从Tenable提供 全面洞悉攻击面
2. 确定每个资产的位置
3. 确定由谁管理每一项资产并存取权限
4. 表示资产类型:云、移动式、传统IT、IoT等
5. 确定资产对运营是否关键并相应优先排序
6. 评估每件关键资产受脆弱因素影响后会发生什么或对贵组织产生非临界效果

可见度挑战

现代广域IT表示你极有可能有盲点 并不具备你需要的全面洞察力 深入整个攻击面

评估攻击面时有一些常见挑战

• 长期不在网络上的资产(或完全不在网络上的资产)很难发现并监控它们。
• 终端用户非网络设备很难发现并保护
• 当组织建立自己的应用代码时, 很难在代码中查找漏洞
• iot设备相对新到脆弱性评估并不总是像传统IT资产那样受保护, 因此查找相关缺陷可能具有挑战性。
• 操作技术(OT)可成为脆弱度评估程序中具有挑战性的一部分,因为它们往往只能用被动非侵入性评估来评估。
• 评估关键系统 难免干扰日常操作或组织目标
• 云部署提供弹性和可扩缩性,但可能难以获取资产常有盲点、守法问题和治理挑战
• 移动设备为贵组织制造数种安全风险, 特别是当它们使用时没有适当的安全控件保护敏感数据
• 多数组织都有很多网络应用常更新应用由于应用量和更新量,可能很难跟上并知道全组织使用多少应用
• 应用容器引起可见度挑战 因为它们快速部署新软件 并可能令团队难以跟上

脆弱性评估样式

---

不同的脆弱度评估风格

脆弱度评估样式有四种通用类型球队就是这样可租房研究中发现并发布网络卫士策略分析2100多个组织后报告

四种脆弱度评估样式如下:

• 最小化者 :最小化者按合规任务的要求做最小度脆弱度评估约33%的学习组织为最小值组织,这意味着它们只对选择资产进行有限评估这些组织面临风险并需要做更多工作来改善网络安全姿态
• 测量器 :测量者比最小度评估者更频繁地进行脆弱性评估,但范围广度广度。约19%的组织为测量者测试时不使用认证或定制扫描模板 留置低至中位安全姿势
• 调查员:调查员脆弱性评估处于高成熟度水平,但这些评估仅对选定资产进行约43%接受调查的组织为调查员这些组织有扎实的脆弱性评估策略,并用定向扫描模板对良好顺序进行评估并使用资产认证和优先排序三级成熟度 可程序网络安全姿势继续成熟
• 勤奋度 :勤奋脆弱度评估风格最成熟约5%的组织为勤勉组织,意即它们所有资产近似连续可见度并高频进行评估勤勉组织进行目标化定制评估并全面覆盖资产他们还将逐例定制扫描

4级漏洞评估解决方案

---

为何我需要做脆弱度评估

无插播软件、错误配置系统和其他缺陷可能对组织产生毁灭性影响

单成功破解环境, 例举 成功钓鱼图法 将赎金软件置入服务器 可能耗资数十万元 用于修复恢复费用延长停机时间可持续数日或更长时间客户丢失 销售收入下降名声败坏在某些情况下 成功攻击可完全关闭业务

近10年来记录约9 000次违规事件,贵组织越来越容易受到网络攻击。超过30%的组织表示网络攻击它们的运营基础设施, 全世界超过62%的组织不确信它们准备应对攻击

攻击者不断寻找方法利用弱点并进入系统时,恶意软件和钓鱼计划是常用攻击方法过去两年恶意软件攻击平均成本超过2百万美元,而赎金软件继续对各种规模的组织构成越来越大的威胁。

平均而言,企业每13秒就会成为绑票工具的受害者钓鱼邮件是最有效的方式91%攻击从phishing开始.过去一年 76%的企业表示 自己成为网钓攻击目标

除这些开发矢量外,资产类型的数量和多样性也增加,安全团队适应和补救可能影响贵组织的每一脆弱点越来越困难。

正因如此,当今最成功的脆弱度评估程序依赖工具和资源促进持续资产发现和脆弱度监测,并使用流程根据对组织的实际风险优先威胁

脆弱度评估程序的好处

漏洞评估帮助你发现并分析攻击面中的漏洞,以减少攻击者利用网络并获取未经授权访问数据的机会

从恶意密码到弱密码 和中间所有事物 威胁各种规模的组织 继续增加正因如此,应用脆弱度评估程序以更好地了解网络接触并保护组织安全日益重要

if you're still考虑脆弱度评估程序 是否适合你, 这里有几个福利需要考虑:

发现易变性

脆弱度评估程序可以帮助你发现所有脆弱度,包括软件缺陷、缺失补丁、恶意软件和错误配置等,这样你就可以在攻击者渗透攻击面前先步消解漏洞

地图资产

通过发现组织内所有资产,你可创建全攻面详图

维护资产盘点

资产发现使你能够盘点所有资产,即使是偶发连接网络的资产和短寿命资产。

理解网络风险

脆弱度评估程序应深入了解你所有资产和脆弱度,以便确定网络风险并做出稳健商业安全决策以降低风险这将有助于建立更强安全姿势

审核补丁

脆弱度评估程序可以帮助你更好地管理补丁计划, 包括深入了解配置变化, 这样你就可以更好地规划并评价修复策略的成功

改善关键信息通信

报表脆弱度评估可帮助保持关键利害相关方从管理向客户通报所有脆弱度和错误配置问题

选择脆弱度评估法增强脆弱度管理程序

组织选择脆弱度评估解决方案时有独特需求,但行业间有一些核心因素适用评估脆弱度解决方案时需考虑四点:

1. 连续完全发现资产

   资产发现和脆弱度评估时,您的解决方案应提供广度覆盖,包括持续资产发现和完全可见性

问题查询商

提供被动网络监视器持续发现资产

提供代理 工作云和预设部署

提供云连接器直播亚马逊Weservice、微软Azure和Google云平台环境

2. 评估:远不止扫描

   当今现代IT环境资产评估不仅仅是扫描

问题查询商

容器图像扫描考虑层分层减少假阳性

提供被动监控OT和IoT漏洞检测

研究队在过去12个月中 发现零日漏洞吗if是,数个

3. 分析修复风险

   以数组数据采集工具 综合脆弱度评估程序 团队常与脆弱度数据超载抗争收集的所有信息你都做什么哪些漏洞可能对贵组织产生最大现实影响,并可能在不远的将来被利用?如何优先修复

   脆弱度评估解决方案利用机器学习帮助团队获取数据控件,以便发现盲点和隐藏模式,更好地评估未来对组织的威胁

问题查询商

脆弱评分主要取历史数据,如开发或实时情报处理当前威胁

脆弱评分机学习

自动资产临界评分

4. 简化定价、许可和增长机会

   脆弱度评估解决方案应该有简单直截了当的定价和许可模式,并随组织增长变化而规模化

5级脆弱性评估过程

---

实施脆弱度评估程序

准备为组织实施脆弱度评估程序时 可能不确定从何开始五个步骤可以建立脆弱度评估程序基础 并随着公司变换和演进逐步提高

sprogram规划

实施脆弱度评估程序前 计划核心组件并设定目标

开始审查你现有的组织安全政策和程序

• 有电流吗
• 有效吗
• 如何调整脆弱度评估程序与这些现有策略
• 记住守法调控组件

审核现有计划与策略后 定义脆弱度评估程序范围 包括时序 优先级 目标与量化度量这也是定义关键角色并概述职责的好时机

sp2参数:初始评估

初始评估将创建基线,从中构建脆弱度评估程序

评估内容应包括识别你所有环境内所有资产

确定资产后,你需要判断每一项关键度,因为它们与业务相关还需要识别谁拥有或负责每一项资产, 并附加信息说明谁存取每个设备

初始评估中还应包括审查所有端口,以确定开关是否本不应该开口并审查所有服务识别主动但非主动

初始评估阶段也是确定系统、流程和应用程序是否更新的好时机检查所有应用和数据源包括审查所有软件以确定资产上是否有未经授权软件并查找配置问题 看攻击者是否可以利用错误配置

sp3e:展开易损扫描

是时候进行首度脆弱点扫描以下是扫描建议

• 所有应用
• 所有端口
• 防火墙
• CMS系统与网络平台
• HIPAA和其他守规标准,如PCIDSS和GNCR
• OWASP前十大
• 多斯和多斯

4度区域创建报表

完成漏洞扫描后 需要创建报表 与团队共享信息

一般来说,报告应包含下列信息帮助优先修复并便利与组织利益攸关方交流程序有效性

• 名称脆弱日期
• 描述脆弱度和哪些资产受到影响
• 脆弱度评分基于你所接受的评分系统,如CVSS为CVES
• 计划修复漏洞
• 脆弱程度存在多久
• 脆弱点何时固定 需要多长时间
• 采取了那些步骤解决问题
• 后续步骤

5g:

分析弱点并分享详细报告 时间规划并修复弱点

记住,大多数脆弱性评估回溯长长的脆弱清单,而知道优先解决哪些问题可能具有挑战性。基于脆弱评分系统 和资产临界度

启动漏洞最有可能在不久的将来对贵组织构成最大风险 并努力推向低临界缺陷列表

脆弱性评估最佳做法

成功、灵活和可扩缩脆弱度评估程序应:

• 便利高速精确扫描所有IT环境扫描范围应超出台式机、服务器和网络等传统攻击面,并包括智能手机、笔记本电脑和平板电脑等移动设备,也包括云环境、iot设备、OT装置和容器
• 自动化人工重复任务加速洞视和响应 以了解攻击面的潜在弱点
• 提供深入评估程序成功编译报表,以便向关键利害相关方传递程序有效性信息,找出漏洞,并做出符合组织总目标的商业安全决策
• 帮助判断所有资产的关键度,以便优先选择哪些漏洞可能使组织面临最大风险
• 帮助规划补丁和修复以降低网络风险和攻击面大小,同时对日常业务造成最少干扰
• 确定网络接触评分,以便更好地了解评估程序成功之处和需要改进或调整之处
• 测试内部跨行业效率 以及行业同行 以更好地了解你正在做多好 降低网络风险 这样你就可以向团队和关键利害相关方传递这些信息

6级易渗透性测试

---

?

渗透测试是脆弱度评估过程的辅助组件穿透测试中,笔测试者使用各种开发方法,通过降低攻击面漏洞或其他安全漏洞,试图绕过网络安全现有计量法

一般来说,第三方对攻击面(或攻击面的特定部分)进行渗透测试并故意利用以证明存在漏洞笔测试后,测试者会向您报告结果,以便您规划修复并采取步骤改善总体安全姿态

?

漏洞评估和渗透测试过程不同,但并发渗透测试是单机活动,从特定时间点深入攻击面,但脆弱性评估是一个持续过程笔试帮助你理解脆弱度评估 脆弱度管理程序如何有效 以及哪里有缺陷需要解决笔试还帮助收集网络安全姿态信息,以便设定目标提高脆弱度评估过程

?

通常五级渗透测试

1. 渗透测试从规划阶段开始 概述目标并设定测试期望
2. 下一步确定测试范围您想用笔测试器锁定整个网络或子集吗?测试者会认证或非认证扫描安全团队知道测试时间和时间吗
3. 测距参数后 测试者准备启动目标在于查找网络中的缺陷 就像攻击者在现实世界中会看到的
4. 测试完成后,测试者会报告结果供审查
5. 检查结果后使用信息规划修复并解决测试者发现的安全性问题

渗透测试有什么不同方法

渗透测试有两种核心方法,而第三个方法则有两种变式:白箱测试、黑盒测试和灰盒测试

白箱测试第三方测试者知道目标信息,测试通常在认证环境内进行

黑盒测试目标信息不与测试者共享,测试者在没有证书的情况下进行网络扫描

灰盒测试混合式组织可只向测试者提供目标局部细节

奈苏斯专家辅助工具可帮助测试者发现攻击表层内可能的漏洞或弱点

脆弱度扫描是什么

漏洞扫描帮助你发现攻击面中的漏洞-跨过所有资产-以便规划修复方法以降低整体网络风险有一些自动化工具可用 漏洞扫描,例如内苏斯高手.工具帮助你建立网络上所有资产目录并启动设备连接企业时自动扫描