終端安全求生指南（三）--脆弱性管理

脆弱性管理

所有的創(chuàng)新技術(shù)對***者來講都是受益的，自動化、眾包，云計算，大數(shù)據(jù)，移動，社會工程學(xué)，所有的創(chuàng)新技術(shù)都可以用來進(jìn)行***，更糟糕的是，***者只需要成功一次，而你需要永遠(yuǎn)保持警惕。某種情況下，在你網(wǎng)絡(luò)當(dāng)中充滿著復(fù)雜聯(lián)系的軟件間之間，脆弱性可被長時間的充分利用，持續(xù)管理這些風(fēng)險對安全來講是非常重要的。

你可能面臨著另外的一個挑戰(zhàn)，那就是來自董事會針對安全以及風(fēng)險降低和脆弱性管理的不理解，你需要盡你的最大努力依據(jù)風(fēng)險降低與避免潛在影響進(jìn)行交流。

脆弱性管理準(zhǔn)則:

A、優(yōu)先處理高風(fēng)險：持續(xù)性地掃描終端脆弱性，并盡快處理最高風(fēng)險的脆弱性。

B、***者和你一樣也在四處尋找：他們有充足的資源，并且需要找到一個可以被充分利用的脆弱來進(jìn)入，你需要不停地修補漏洞來減少你的***面和降低安全風(fēng)險。

C、修補危害使命的漏洞：CVSS提供一個有用的模型進(jìn)行脆弱性排序，并給出了一個標(biāo)準(zhǔn)的方法讓不同的人，部門，組織可以輕松理解。高級的脆弱性管理工具，像tripwire360，包含更多細(xì)粒度的模型，這些模型可以提供預(yù)測性的“熱圖”的能力，這些可以識別網(wǎng)絡(luò)當(dāng)中高風(fēng)險更可能成功破壞商業(yè)和合作的區(qū)域。

BOOT CAMP

1、頻繁地掃描：使用脆弱性掃描工具針對系統(tǒng)清單來識別終端弱點，在遭受***的時候，這些弱點可以被充分利用。當(dāng)很多組織為持續(xù)性掃描不斷努力的時候，在掃描基礎(chǔ)架構(gòu)/設(shè)施時重大投資是必須的，以保障完成掃描結(jié)果的評估。同樣，記住一點，人力資源是要求來響應(yīng)調(diào)查結(jié)果的。

根據(jù)來你具備的資源來選擇一個頻繁掃描的目標(biāo)對你來講才是現(xiàn)實的，舉例來講，以周為單位的評估對一個組織來講是難以實現(xiàn)的，但是針對另一個組織確是不夠頻繁，你可能同樣想增加掃描的頻率來掃描更加重要的終端或者面向internet的系統(tǒng)。

針對你的掃描結(jié)果進(jìn)行排序，并發(fā)送給對應(yīng)系統(tǒng)的所有者，總結(jié)調(diào)查結(jié)果給予管理，包含風(fēng)險得分來量化風(fēng)險的量化程度基于重要程度進(jìn)行補救排序。tripwire ip360針對內(nèi)部評估是非常牛逼的;tripwire purecloud針對面向互聯(lián)網(wǎng)的終端進(jìn)行評估也是非常有效的，基于業(yè)務(wù)內(nèi)容信息的細(xì)粒度評分是交付的關(guān)鍵。

2、修復(fù)，加固，重復(fù)：顯而易見，如果你修復(fù)這些問題時，識別他們才有用，一些問題使用業(yè)務(wù)流程的管理方法進(jìn)行修復(fù)，一些問題要求減少控制與配置變更，不管怎樣，這都是一個持續(xù)性的過程。

3、報告/成績單:持續(xù)性的掃描可以讓你快速地識別數(shù)據(jù)的趨勢，通過數(shù)據(jù)指出你的風(fēng)險管理程序表現(xiàn)如何，指出同樣風(fēng)險增減的地方，他們也同樣幫助你公正地進(jìn)行資源分配，所有的這些都在你的報告當(dāng)中傳達(dá)出來，tripwire的報告產(chǎn)品生成風(fēng)險報告來幫助呈現(xiàn)安全態(tài)勢感知。

ADVANCED TRAINING

4、安全情報來源：和你一樣，***者也在思考用最少的資源和最簡單的方法來工作，使用自動運行的復(fù)雜進(jìn)程，可以讓進(jìn)行你的網(wǎng)絡(luò)變得更加的簡單，這些工具可以讓缺乏***經(jīng)驗的***執(zhí)得有效的***，因些，你的脆弱性風(fēng)險可能增加，由于新的自動化***變得更加有效。購買實時更新的策略內(nèi)容，設(shè)備、應(yīng)用檢測和脆弱性檢測規(guī)則，針對有關(guān)于工具的開發(fā)，潛在影響排序，特別是針對***發(fā)生時會帶來嚴(yán)重的破壞。

5、開展深度掃描：取得管理員授權(quán)進(jìn)行掃描，受信任的評估要比不受信任的要花費更長的時間，但是集中的附加信息可以顯著地提高發(fā)現(xiàn)與評估的準(zhǔn)確性。

6、將SIEM與NIPS相結(jié)合使用：在開發(fā)各個引擎之間的聯(lián)系后面一個核心內(nèi)容是需要將終端脆弱性與在網(wǎng)絡(luò)上活躍的漏洞相結(jié)合，通過多來源對比信息將增加信息的有用性與準(zhǔn)確性。通過NIPS獲取到的日志各掃描信息的技術(shù)優(yōu)勢，融入到你的日志管理工具當(dāng)中，tripwire log center集成了tripwire ip360和思科 firepower NGIPS是這種技術(shù)運用的一個實際。

COMBAT READY

7、自動修復(fù)：如果可以，部署自動化修復(fù)的軟件來保持系統(tǒng)軟件自動升級，絕大多數(shù)組織當(dāng)中，人工的努力是無法覆蓋到爆炸式的脆弱性數(shù)量增長和他所影響的終端數(shù)量。

8、限制掃描時間并針對差異性進(jìn)行預(yù)警：你可以探測不需要的搜索結(jié)果，通過定義在授權(quán)進(jìn)行和查找感興趣的事件，發(fā)生的外部正常的業(yè)務(wù)時間在你的SIEM和日志管理當(dāng)中。tripwire log center可以幫助檢測這一類型的行為。

9、將掃描結(jié)果集成到風(fēng)險系統(tǒng)當(dāng)中：合并多來源的風(fēng)險數(shù)據(jù)，提供一個更加準(zhǔn)確的企業(yè)風(fēng)險展示，這將允許你管理風(fēng)險并展示在安全態(tài)勢上的改進(jìn)。GRC，網(wǎng)絡(luò)可視化和免費的風(fēng)險管理工具可以扮演這個角色，合并風(fēng)險日志將風(fēng)險評分“***”到高風(fēng)險終端的業(yè)務(wù)所有者變得可能。你需要將潛在的利用風(fēng)險、可利用度以及***矢量包含到報告當(dāng)中。例如，tripwire牛叉的產(chǎn)品可以整合風(fēng)險信息。