漏洞管理导向
随着企业对网络安全风险意识的增强、合规性要求的提高和网络安全事件的频发,漏洞管理越来越被更多的企业所重视,成为了信息安全项目的必备基石。
一、什么是安全漏洞?
我们有一些耳熟能详的安全漏洞名字,比如SQL注入、跨站脚本、缓冲区溢出等,企业的资产
需要保护的、有价值的资源
也面临层出不穷的网络攻击的威胁。那什么是安全漏洞呢?简而言之就是信息系统中的弱点,这个弱点或者脆弱性可能是缺乏防控措施或者防控措施不足造成的,比如组织没有应用某一个组件的补丁而造成的脆弱性暴露。
二、为什么要做漏洞管理?
漏洞的暴露和利用可能会给企业带来的不仅仅是巨大的经济损失,还有可能损害客户利益、企业名誉,甚至违反相关的法律法规。
有效的漏洞管理可以及早地发现漏洞并遏制漏洞利用事件的发生,相对于企业的盈利部门,虽然漏洞管理是一项支出,而忽略漏洞管理可能意味着更高的经济成本。
安全运维管理中新增了配置管理、漏洞和风险管理控制点,要求企业重视漏洞和补丁管理安全,做好配置管理工作,及时更新基本配置信息库,定期开展安全测评工作,提升企业积极主动防护的能力。很多企业也有要求对关键等级高的资产在上线前和重要变更时进行渗透测试,并每季度进行漏洞扫描,以发现新暴露的漏洞。
许多行业的法律法规都规定了对漏洞管理的要求,相关要求也逐渐扩展到各行各业。支付卡行业数据安全标准涉及所有处理支付卡业务的实体,并要求涉及的实体采用行业公认的测试方法,至少每年进行一次渗透测试,并且在环境做出重大变更后必须再次测试。
漏洞管理也可以从技术角度了解系统的信息收集与使用的情况,规定了网络运营者不能未经用户同意收集使用个人信息
在实际的场景中,App安装后可能未经用户同意收集MAC地址、IP地址、用户地址位置等个人信息,或者在用户明确表示不允许收集的情况下,仍然收集这些信息。
或者APP后台自动收集用户设配IMEI号、IMSI号地址位置等过于频繁,超过了业务实际需要。更多的场景和实例不再赘述,对敏感信息相关漏洞的测试和管理可以有效防止信息泄露并了解敏感数据收集、使用的情况,从而帮助APP开发者和管理者了解APP的合规性风险。
三、怎么做漏洞管理?
一个漏洞管理框架应该包括治理、发现、评估、处理、监控和报告五个部分。有效的漏洞管理可以帮助组织定期评估漏洞,根据成本效益原则修复风险严重、高、低等的漏洞,并接受修复成本比较高的风险较小的漏洞。
1. 治理/准备
良好的治理过程是是有效的漏洞管理的基础,如果不能明确数据和处理数据的信息系统的的分类或者对业务的影响程度,也就无法确定他们需要保护的程度、漏洞的等级和修复的优先级。治理的内容包括确认组织的信息系统表,需要保护的信息系统,对数据的分类,和一些诸如服务水平协议,角色和职责,项目范围等文档的撰写。
2. 漏洞发现
漏洞发现的方式主要包括漏洞扫描、渗透测试等,使用Nessus等常见的漏洞扫描器可以快速识别系统、网络和应用程序中的漏洞,例如版本漏洞和不安全的配置等,然而常规的漏洞扫描器可能存在一定的误报率和难以发现如逻辑绕过之类的漏洞。渗透测试技术则可以弥补这一缺陷。
渗透测试是通过模拟黑客攻击的过程,发现资产存在的漏洞。漏洞扫描只是探测漏洞是否存在,通常不会对系统发起主动的攻击性行为,而渗透测试会通过突破安全控制措施,入侵目标系统来验证漏洞,达到评估系统安全性的目的。
渗透测试根据向攻击者/测试者提供信息的程度可以划分为白盒渗透测试、灰盒渗透测试、黑盒渗透测试,其中白盒渗透向攻击者提供目标系统的详细信息,因此可以减少信息勘测的步骤,缩短测试和攻击时间,并增加了发现更多漏洞的可能性。黑盒测试在攻击前不向测试人员提供任何消息,也更接近真实的攻击场景。而灰盒测试测试也被称为部分知识测试,是前两种测试的折中,平衡了两者的优缺点,也是最常用的渗透测试方法。
3. 优先等级处理
根据漏洞在当前环境下的威胁程度、可复现性、影响用户程度等评估漏洞和风险,并依此对漏洞评级、排序并确定修复的优先级。
对漏洞的定性评估可以将漏洞分为:超高危、高危、中危、低危,具体的评判标准可以参考CVE和CVSS。
从处理风险的角度来看,风险的响应通常包括:风险缓解、风险转移、风险接受、风险威慑、风险规避、风险拒绝。而一般处理漏洞的方式主要有风险缓解和风险接受。企业可以选择修复漏洞以缓解此漏洞敞露的风险,例如SQL注入漏洞,常见的修复措施有参数化、对用户输入进行验证、使用存储过程等;对于跨站脚本攻击
XSS
而言,验证用户输入的有效性是一个很好的措施。
漏洞管理是一个持续的过程,成功的漏洞管理过程也需要与组织的业务风险管理紧密联系,定期审核漏洞管理过程是否与组织的业务和风险管理目标相一致,并确保企业网络安全相关的人员及时了解新的安全威胁和趋势也是漏洞管理过程中不可忽略的部分。
随着企业对网络安全风险意识的增强、合规性要求的提高和网络安全事件的频发,漏洞管理越来越被更多的企业所重视,成为了信息安全项目的必备基石。
一、什么是安全漏洞?
我们有一些耳熟能详的安全漏洞名字,比如SQL注入、跨站脚本、缓冲区溢出等,企业的资产
需要保护的、有价值的资源
也面临层出不穷的网络攻击的威胁。那什么是安全漏洞呢?简而言之就是信息系统中的弱点,这个弱点或者脆弱性可能是缺乏防控措施或者防控措施不足造成的,比如组织没有应用某一个组件的补丁而造成的脆弱性暴露。
二、为什么要做漏洞管理?
漏洞的暴露和利用可能会给企业带来的不仅仅是巨大的经济损失,还有可能损害客户利益、企业名誉,甚至违反相关的法律法规。
有效的漏洞管理可以及早地发现漏洞并遏制漏洞利用事件的发生,相对于企业的盈利部门,虽然漏洞管理是一项支出,而忽略漏洞管理可能意味着更高的经济成本。
安全运维管理中新增了配置管理、漏洞和风险管理控制点,要求企业重视漏洞和补丁管理安全,做好配置管理工作,及时更新基本配置信息库,定期开展安全测评工作,提升企业积极主动防护的能力。很多企业也有要求对关键等级高的资产在上线前和重要变更时进行渗透测试,并每季度进行漏洞扫描,以发现新暴露的漏洞。
许多行业的法律法规都规定了对漏洞管理的要求,相关要求也逐渐扩展到各行各业。支付卡行业数据安全标准涉及所有处理支付卡业务的实体,并要求涉及的实体采用行业公认的测试方法,至少每年进行一次渗透测试,并且在环境做出重大变更后必须再次测试。
漏洞管理也可以从技术角度了解系统的信息收集与使用的情况,规定了网络运营者不能未经用户同意收集使用个人信息
在实际的场景中,App安装后可能未经用户同意收集MAC地址、IP地址、用户地址位置等个人信息,或者在用户明确表示不允许收集的情况下,仍然收集这些信息。
或者APP后台自动收集用户设配IMEI号、IMSI号地址位置等过于频繁,超过了业务实际需要。更多的场景和实例不再赘述,对敏感信息相关漏洞的测试和管理可以有效防止信息泄露并了解敏感数据收集、使用的情况,从而帮助APP开发者和管理者了解APP的合规性风险。
三、怎么做漏洞管理?
一个漏洞管理框架应该包括治理、发现、评估、处理、监控和报告五个部分。有效的漏洞管理可以帮助组织定期评估漏洞,根据成本效益原则修复风险严重、高、低等的漏洞,并接受修复成本比较高的风险较小的漏洞。
1. 治理/准备
良好的治理过程是是有效的漏洞管理的基础,如果不能明确数据和处理数据的信息系统的的分类或者对业务的影响程度,也就无法确定他们需要保护的程度、漏洞的等级和修复的优先级。治理的内容包括确认组织的信息系统表,需要保护的信息系统,对数据的分类,和一些诸如服务水平协议,角色和职责,项目范围等文档的撰写。
2. 漏洞发现
漏洞发现的方式主要包括漏洞扫描、渗透测试等,使用Nessus等常见的漏洞扫描器可以快速识别系统、网络和应用程序中的漏洞,例如版本漏洞和不安全的配置等,然而常规的漏洞扫描器可能存在一定的误报率和难以发现如逻辑绕过之类的漏洞。渗透测试技术则可以弥补这一缺陷。
渗透测试是通过模拟黑客攻击的过程,发现资产存在的漏洞。漏洞扫描只是探测漏洞是否存在,通常不会对系统发起主动的攻击性行为,而渗透测试会通过突破安全控制措施,入侵目标系统来验证漏洞,达到评估系统安全性的目的。
渗透测试根据向攻击者/测试者提供信息的程度可以划分为白盒渗透测试、灰盒渗透测试、黑盒渗透测试,其中白盒渗透向攻击者提供目标系统的详细信息,因此可以减少信息勘测的步骤,缩短测试和攻击时间,并增加了发现更多漏洞的可能性。黑盒测试在攻击前不向测试人员提供任何消息,也更接近真实的攻击场景。而灰盒测试测试也被称为部分知识测试,是前两种测试的折中,平衡了两者的优缺点,也是最常用的渗透测试方法。
3. 优先等级处理
根据漏洞在当前环境下的威胁程度、可复现性、影响用户程度等评估漏洞和风险,并依此对漏洞评级、排序并确定修复的优先级。
对漏洞的定性评估可以将漏洞分为:超高危、高危、中危、低危,具体的评判标准可以参考CVE和CVSS。
从处理风险的角度来看,风险的响应通常包括:风险缓解、风险转移、风险接受、风险威慑、风险规避、风险拒绝。而一般处理漏洞的方式主要有风险缓解和风险接受。企业可以选择修复漏洞以缓解此漏洞敞露的风险,例如SQL注入漏洞,常见的修复措施有参数化、对用户输入进行验证、使用存储过程等;对于跨站脚本攻击
XSS
而言,验证用户输入的有效性是一个很好的措施。
漏洞管理是一个持续的过程,成功的漏洞管理过程也需要与组织的业务风险管理紧密联系,定期审核漏洞管理过程是否与组织的业务和风险管理目标相一致,并确保企业网络安全相关的人员及时了解新的安全威胁和趋势也是漏洞管理过程中不可忽略的部分。
简短的优秀文案
1.那就先优秀在恋爱。
2.你先好好生活 以后和我一起生活。
3.五小时的睡眠很可怜 到六百分的分数真的很耀眼。
4.偷偷厉害 万事接可期待。
5.成熟是在头脑中 而不是年龄。
6.人终究会被其年少不可得一物困扰一生。
7.快睡吧 你的头发不允许你想太多。
8.人生值得安慰的是 每一天都有结束的时候 今天也不例外。
9.缘分这东西 不负对方就好。
10.一定要清醒 热爱生活 每天开心。
1.那就先优秀在恋爱。
2.你先好好生活 以后和我一起生活。
3.五小时的睡眠很可怜 到六百分的分数真的很耀眼。
4.偷偷厉害 万事接可期待。
5.成熟是在头脑中 而不是年龄。
6.人终究会被其年少不可得一物困扰一生。
7.快睡吧 你的头发不允许你想太多。
8.人生值得安慰的是 每一天都有结束的时候 今天也不例外。
9.缘分这东西 不负对方就好。
10.一定要清醒 热爱生活 每天开心。
#玄幻小说配骡稀之死# 当代玄幻网络神奇小说《配骡稀之死》(一,32,)!书里人物事件时间地点皆虚妄不可人为自恋代入,如有雷同纯属巧合!诗人王雪峰独家原创,欢迎转发,免费阅评,严禁用于各种商业及相关盈利用途,严禁未经授权盗版篡改,否则任何后果自负。
(一,32,流氓胆薄)
以杂交吸血鬼族为首的“北片区域多数约定干坏事盗匪帮派”野蛮侵略“男恋萌”并悍然袭击轰炸了华夏炎黄族驻“男恋萌”国使节馆驿,激起华夏全民族义愤声讨。
同时,在整颗生命之星,那些曾经饱受化形人族侵略摧残的国家地区也纷纷站出来严厉斥责以杂交吸血鬼族为首的侵略者匪帮所犯下的血腥罪孽。
各化形人族后方顿时舆论喧嚣,善良正义的人们纷纷走上街头,支持华夏正义诉求。
同时,“男恋萌”国也得到了世界上大多数国家地区的支持与声援,“男恋萌”国人民也英勇无畏,顽强抵抗化形人族野蛮侵略,给化形人族造成各种严重反击后果。
化形人族害怕了,尤其是杂交吸血鬼族,作为头号罪魁祸首,对“男恋萌”和华夏炎黄族同时犯下滔天罪行,它们也极度担心遭到华夏反击报复。
故此,杂交吸血鬼族最先出面希望摆平,就像流氓败类欺侮老实人又害怕老实人或告官或报复,赶紧上门厕所和稀泥求谅解,同时又带着狂傲不可一世态度好似施舍般让老实人不得再继续追究,杂交吸血鬼族就是这样的一种心理派出所谓“和平使节”来到华夏。
随着杂交吸血鬼族“友好邦交使节”踏足华夏大地,那些平时隐藏的华夏奸卖国贼也纷纷现身大推厕所稀泥,散播杂交吸血鬼族如何强大不可战胜不能触怒等等消极言论,配合杂交吸血鬼族“和平使节”劝降阴谋。
然而,华夏炎黄族屹立盘古大陆数千年,岂能没有民族骨气英雄血性。
正如化形人族流氓强盗所担心的那样,老实人如果被欺侮狠了,也是要狠咬一口凶猛报复的,谁管你华夏奸厕所和稀泥,国仇家恨是永远不会忘记的。
杂交吸血鬼族“友好使节”放眼所见,到处都是愤怒的海洋,华夏炎黄族人民群众全都自发走上街头,高举标语旗帜,高喊口号,号召全民族反抗化形人族侵略者。
愤怒的人们包围了位于华夏境内的所有杂交吸血鬼族驻地使节馆驿,因为平民没有武器,人们就捡起砖头石块向杂交吸血鬼族各个使节馆驿打砸,吓得华夏各地化形人族使节馆驿人员不敢出门冒头。
其实,生命之星上,到处都在发生类似的事,无数爱好和平正义的人们纷纷自发组织起来,包围着各国地区的杂交吸血鬼族使节馆驿,严重抗议侵略者暴行。
善良仁义好人在和流氓败类强盗侵略者打交道时,有时候道理就是这样,必须英勇无畏反抗甚至反击报复,尤其是有些时候必须坚决反击甚至宰杀一些罪大恶极首要份子,才能讲得通道理,并且铲除隐患。
化形人族侵略者非常懂得流氓理论,也深深地知道一旦老实人被逼急了会产生什么样的可怕后果,因为,在它们的侵略屎厕里已经无数次经历记载过各种反抗实例。
而善良好人的每一次拼命反抗,必然会给流氓强盗带来致命打击。
这不符合强盗侵略者初衷。
这个世界上,越是表面看起来凶残恶毒的流氓强盗,越是怕死。当见到老实人越顽强反抗报复时它们就越吓得尿裤子。
杂交吸血鬼族“友好使节”赶紧把情况上报给化形人族最高统治者,并且急急忙忙联系各方希望摆平。
杂交吸血鬼族不得不放低了姿态,虚头巴脑假惺惺向华夏人民道歉,同时不忘狡辩说它们并没有想侵犯华夏,一切都是误会云云,甚至无耻到当面扯谎说根本不是故意袭击轰炸华夏炎黄族驻“男恋萌”国使节馆驿,都是战争中无心之失等等。
华夏人民群众早已看清了化形人族嘴脸面目,只是限于某些时机暂时压下怒火,但是,华夏炎黄族的驻外使节英雄们不能就这样白白牺牲,杂交吸血鬼族必须付出代价。
接下来,华夏炎黄族顺利收复了特定时期以来第二块主权散地,即,大鳌之门地岛。这一次接收主权散地过程非常顺利,再没有化形人族敢于插足捣乱。
其次,一直以来由化形人族尤其是杂交吸血鬼族等把控的生命之星国际正常贸易,现在也开始对华夏炎黄族放开了,允许华夏炎黄族同世界各国按照同一标准往来交易。
还有其它一些事情也渐渐走上正轨,化形人族世界不得不考虑华夏炎黄族在生命之星的地位话语权。
华夏炎黄族终于可以开启经济腾飞时代!
(未完待续)#诗人王雪峰#
(一,32,流氓胆薄)
以杂交吸血鬼族为首的“北片区域多数约定干坏事盗匪帮派”野蛮侵略“男恋萌”并悍然袭击轰炸了华夏炎黄族驻“男恋萌”国使节馆驿,激起华夏全民族义愤声讨。
同时,在整颗生命之星,那些曾经饱受化形人族侵略摧残的国家地区也纷纷站出来严厉斥责以杂交吸血鬼族为首的侵略者匪帮所犯下的血腥罪孽。
各化形人族后方顿时舆论喧嚣,善良正义的人们纷纷走上街头,支持华夏正义诉求。
同时,“男恋萌”国也得到了世界上大多数国家地区的支持与声援,“男恋萌”国人民也英勇无畏,顽强抵抗化形人族野蛮侵略,给化形人族造成各种严重反击后果。
化形人族害怕了,尤其是杂交吸血鬼族,作为头号罪魁祸首,对“男恋萌”和华夏炎黄族同时犯下滔天罪行,它们也极度担心遭到华夏反击报复。
故此,杂交吸血鬼族最先出面希望摆平,就像流氓败类欺侮老实人又害怕老实人或告官或报复,赶紧上门厕所和稀泥求谅解,同时又带着狂傲不可一世态度好似施舍般让老实人不得再继续追究,杂交吸血鬼族就是这样的一种心理派出所谓“和平使节”来到华夏。
随着杂交吸血鬼族“友好邦交使节”踏足华夏大地,那些平时隐藏的华夏奸卖国贼也纷纷现身大推厕所稀泥,散播杂交吸血鬼族如何强大不可战胜不能触怒等等消极言论,配合杂交吸血鬼族“和平使节”劝降阴谋。
然而,华夏炎黄族屹立盘古大陆数千年,岂能没有民族骨气英雄血性。
正如化形人族流氓强盗所担心的那样,老实人如果被欺侮狠了,也是要狠咬一口凶猛报复的,谁管你华夏奸厕所和稀泥,国仇家恨是永远不会忘记的。
杂交吸血鬼族“友好使节”放眼所见,到处都是愤怒的海洋,华夏炎黄族人民群众全都自发走上街头,高举标语旗帜,高喊口号,号召全民族反抗化形人族侵略者。
愤怒的人们包围了位于华夏境内的所有杂交吸血鬼族驻地使节馆驿,因为平民没有武器,人们就捡起砖头石块向杂交吸血鬼族各个使节馆驿打砸,吓得华夏各地化形人族使节馆驿人员不敢出门冒头。
其实,生命之星上,到处都在发生类似的事,无数爱好和平正义的人们纷纷自发组织起来,包围着各国地区的杂交吸血鬼族使节馆驿,严重抗议侵略者暴行。
善良仁义好人在和流氓败类强盗侵略者打交道时,有时候道理就是这样,必须英勇无畏反抗甚至反击报复,尤其是有些时候必须坚决反击甚至宰杀一些罪大恶极首要份子,才能讲得通道理,并且铲除隐患。
化形人族侵略者非常懂得流氓理论,也深深地知道一旦老实人被逼急了会产生什么样的可怕后果,因为,在它们的侵略屎厕里已经无数次经历记载过各种反抗实例。
而善良好人的每一次拼命反抗,必然会给流氓强盗带来致命打击。
这不符合强盗侵略者初衷。
这个世界上,越是表面看起来凶残恶毒的流氓强盗,越是怕死。当见到老实人越顽强反抗报复时它们就越吓得尿裤子。
杂交吸血鬼族“友好使节”赶紧把情况上报给化形人族最高统治者,并且急急忙忙联系各方希望摆平。
杂交吸血鬼族不得不放低了姿态,虚头巴脑假惺惺向华夏人民道歉,同时不忘狡辩说它们并没有想侵犯华夏,一切都是误会云云,甚至无耻到当面扯谎说根本不是故意袭击轰炸华夏炎黄族驻“男恋萌”国使节馆驿,都是战争中无心之失等等。
华夏人民群众早已看清了化形人族嘴脸面目,只是限于某些时机暂时压下怒火,但是,华夏炎黄族的驻外使节英雄们不能就这样白白牺牲,杂交吸血鬼族必须付出代价。
接下来,华夏炎黄族顺利收复了特定时期以来第二块主权散地,即,大鳌之门地岛。这一次接收主权散地过程非常顺利,再没有化形人族敢于插足捣乱。
其次,一直以来由化形人族尤其是杂交吸血鬼族等把控的生命之星国际正常贸易,现在也开始对华夏炎黄族放开了,允许华夏炎黄族同世界各国按照同一标准往来交易。
还有其它一些事情也渐渐走上正轨,化形人族世界不得不考虑华夏炎黄族在生命之星的地位话语权。
华夏炎黄族终于可以开启经济腾飞时代!
(未完待续)#诗人王雪峰#
✋热门推荐