如何执行漏洞评估:分步指南

仅在2020年，超过23，000个新的软件漏洞被发现并公开报道。对于门外汉来说，这个数字可能听起来令人震惊，但对于网络安全领域的人来说，这样的数字不再令人惊讶。诚然，没有哪个组织会与所有23，000人发生冲突，但一个人就足以造成无法估量的损失。

如果你想知道被这些漏洞攻击的几率，IBM的分析发现扫描和利用漏洞是2020年的主要攻击手段(35%的攻击)，甚至超过了网络钓鱼攻击。

黑客一直在扫描互联网的弱点，如果你不想让你的组织成为受害者，你需要第一个找到这些弱点。换句话说，您必须采取主动的方法来管理您的漏洞，而实现这一点的关键的第一步是执行漏洞评估。

我们创建了本指南，以帮助您了解什么是漏洞评估，为什么它很重要，以及如何在您的组织中执行它。

什么是漏洞评估？

作为人类，我们都会犯错误，因为软件是由人类编写的，所以不可避免地包含bug。虽然许多错误在本质上是无害的，但一些错误被证明是可利用的漏洞，从而将系统的可用性和安全性置于风险之中。这就是漏洞评估的用武之地。漏洞评估是对某个时间点的IT系统中的漏洞进行分析，目的是在黑客抓住漏洞之前识别系统的弱点。

脆弱性评估和渗透测试(VAPT)

很容易混淆漏洞评估和渗透测试。许多安全公司两者都提供，它们之间的界限很容易模糊。

区分这两种产品的最好方法是看看测试中的繁重工作是如何完成的。漏洞评估是一个自动化的测试，意味着一个工具完成所有的工作，并在最后生成报告。另一方面，渗透测试是一个手动过程，依赖于渗透测试人员的知识和经验来识别组织系统中的漏洞。

最佳实践是将自动漏洞评估与常规手动渗透测试相结合，以获得更好的系统保护。然而，并不是每个公司都是一样的，自然，当涉及到安全测试时，他们的需求是不同的。因此，如果您刚刚开始，不确定是否应该执行漏洞评估或渗透测试，我们已经编写了一个有用的指南解决这个问题。

漏洞评估的目的是什么？

假设你容易受到网络攻击和确切知道你如何容易受到攻击之间有很大的区别，因为除非你知道你如何容易受到攻击，否则你无法预防它。漏洞评估的目标是缩小这一差距。漏洞评估测试您的部分或全部系统，并生成详细的漏洞报告。然后，该报告可用于修复发现的问题，以避免安全漏洞。

此外，越来越多的公司依靠技术来开展日常运营，但网络威胁，如勒索软件，可以在瞬间停止您的业务。人们普遍认为，预防胜于治疗，这使得网络安全变得越来越重要，并要求解决方案确保其弹性。例如，现在越来越多的SaaS客户要求定期进行漏洞评估，拥有安全测试证明也可以帮助您创造更多业务.

漏洞评估工具

漏洞评估是由扫描器执行的自动化过程。这使得他们能够被广大的观众所接受。许多扫描仪是面向网络安全专家的，但也有为没有专门安全团队的组织中的IT经理和开发人员量身定制的解决方案。

漏洞扫描器有多种类型:一些擅长网络扫描，另一些擅长网络应用、物联网设备或集装箱安全。如果您是一家小型企业，您可能会发现一台扫描仪可以覆盖您的所有或大部分系统。但是，拥有复杂网络的大型公司可能更喜欢结合使用多种扫描仪来实现所需的安全级别。阅读我们的漏洞扫描指南了解有关漏洞扫描过程以及如何为您的企业选择合适的扫描器的更多信息。

进行漏洞评估的步骤

有了合适的工具，您可以通过完成以下步骤来执行漏洞评估:

1.资产发现

首先，你需要决定你想扫描什么，这并不总是像听起来那么简单。组织面临的最常见的网络安全挑战之一是缺乏对其数字基础设施及其连接设备的可见性。其中的一些原因包括:

• 移动设备:智能手机、笔记本电脑和类似设备旨在频繁断开和重新连接办公室、员工家中以及其他远程位置。
• 物联网设备:物联网设备是企业基础设施的一部分，但可能主要连接到移动网络。
• 基于云的基础设施:云服务提供商可以在没有it参与的情况下，根据需要轻松部署新服务器。

我们都喜欢在一个组织完善的组织中工作，但现实往往更加混乱。很难简单地跟踪不同的团队在任何给定的时间点上线了什么，或者改变了什么。这种缺乏可见性是有问题的，因为很难保护你看不见的东西。幸运的是，这个过程的发现方面可以在很大程度上实现自动化。例如，一些现代漏洞评估工具可以在面向公众的系统上执行发现，并直接连接到云提供商以识别基于云的基础架构。

2.优先顺序

一旦你知道你得到了什么，下一个问题是你是否能负担得起运行所有的漏洞评估。在理想的情况下，您应该定期对所有系统进行漏洞评估。然而，供应商通常按资产收费，因此在预算无法涵盖公司拥有的每项资产的情况下，优先排序会有所帮助。

您可能希望确定优先顺序的一些示例如下:

• 面向互联网的服务器
• 面向客户的应用程序
• 包含敏感信息的数据库

值得注意的是，无目标或大规模攻击的两个最常见的媒介是:

1. 面向互联网的系统
2. 员工笔记本电脑(通过网络钓鱼攻击)

所以如果你买不起别的，至少试着把这些都盖起来，顺序也一样。

3.漏洞扫描

漏洞扫描器旨在识别已知的安全弱点，并提供如何修复这些弱点的指导。因为这些漏洞通常是公开报告的，所以存在大量关于易受攻击软件的信息。漏洞扫描器使用这些信息来识别组织基础架构中易受攻击的设备和软件。扫描器首先向系统发送探测信号，以识别:

• 开放端口和运行服务
• 软件版本
• 配置设置

基于这些信息，扫描程序通常可以识别被测系统中的许多已知漏洞。

此外，扫描程序会发送特定的探测器来识别单个漏洞，这些漏洞只能通过发送证明漏洞存在的安全漏洞来测试。这些类型的探测器可以识别常见的漏洞，例如“命令注入”或“跨站点脚本(XSS)”，或者使用系统的默认用户名和密码。

根据您正在扫描的基础设施(尤其是任何网站的扩展程度)，漏洞扫描可能需要几分钟到几小时。

4.结果分析和补救

漏洞扫描完成后，扫描程序会提供评估报告。在阅读和制定基于此报告的补救计划时，您应该考虑以下几点:

• 严重:漏洞扫描器应该根据潜在漏洞的严重性来标记它。规划补救措施时，首先关注最严重的漏洞，但避免永远忽略其余的漏洞。对于黑客来说，将几个轻微的漏洞串联起来形成漏洞利用并不罕见。一个好的漏洞扫描器会建议何时修复每个问题的时间表。
• 漏洞暴露:记住上面的优先级-不是所有的漏洞都在面向公众的系统上。面向互联网的系统更有可能被扫描互联网的任何随机攻击者利用，这使它们成为更高的补救优先级。之后，您需要优先考虑安装了易受攻击软件的员工笔记本电脑。此外，托管特别敏感数据或可能对您的业务产生不利影响的任何系统可能需要优先于其他系统。

你可以阅读NCSC指南了解有关漏洞分类和优先修复的更多详细信息。

在大多数情况下，有一个公开发布的补丁来纠正检测到的漏洞，但它通常也需要配置更改或其他解决方法。应用修复程序后，重新扫描系统以确保正确应用修复程序也是一个好主意。如果不是，系统可能仍然容易被利用。此外，如果修补程序引入了任何新的安全问题，如安全错误配置(尽管很少)，此扫描可能会发现它们，并允许它们得到纠正。

5.持续网络安全

漏洞扫描提供了组织的数字基础架构中存在的漏洞的时间点快照。但是，新的部署、配置更改、新发现的漏洞和其他因素会很快使组织再次易受攻击。因此，您必须将漏洞管理作为连续法而不是一次性的练习。

由于许多漏洞是在软件开发时引入的，最先进的软件开发公司将自动化漏洞评估集成到他们的持续集成和部署(CI/CD)管道中。这使他们能够在软件发布之前识别并修复漏洞，从而避免潜在的漏洞利用，并避免为易受攻击的代码开发和发布补丁。

最后

定期的漏洞评估对于强大的网络安全态势至关重要。现有漏洞的数量和一般公司数字基础设施的复杂性意味着，一个组织几乎肯定会有至少一个未修补的漏洞，从而使其面临风险。在攻击者之前发现这些漏洞可能意味着失败的攻击和代价高昂且令人尴尬的数据泄露或勒索病毒感染之间的区别。

漏洞评估的一大好处是您可以自己完成，甚至可以自动化这个过程。通过获得正确的工具并定期执行漏洞扫描，您可以显著降低网络安全风险。

侵入者脆弱性评估工具

入侵者是一个完全自动化的漏洞评估工具，旨在检查您的基础设施的10，000多个已知的弱点。它旨在通过主动运行安全扫描、监控网络变化、同步云系统等来节省您的时间。入侵者生成一份报告，概述问题并提供可行的补救建议，以便您可以在黑客攻击之前找到并修复您的漏洞。