网络安全评估《一些摘录》

因为与自己的工作有关，所以做了一些摘录

什么是漏洞：有恶意的人能够利用的软硬件的缺陷及配置错误（misconfiguration）.

未知漏洞窗口：从发现一个漏洞到系统打上该漏洞的补丁所经过的时间。

已知漏洞窗口：从厂商发布一个漏洞补丁到系统打上该漏洞的补丁所经过的时间。

Risk=Vulnerability*Attacks*Threat*Exposure

Vulnerability：多容易得到利益。

Attacks：攻击弹药，攻击代码。

Threat：潜在的攻击者数量。

Exposure：漏洞的暴露程度。

扩展的

Periphery：防御边界的范围及可能受到攻击的风险敞口。

Lack of protection：相应防护的差劲程度。

Asset value/criticality：资产的价值。

举例：

CVE-2005-4560 Windows metafile

允许远程执行代码，Vulnerability为5

很容易获得攻击代码，Attacks为5

需要浏览恶意站点，服务器很少有这样的机会，Threat为1

同样，Exposure为1

Risk=5*5*1*1=25

如果将对象换成客户端

Threat变为5

Exposure变为3

不同漏洞的风险与组织的环境相关。

一个好的漏洞评估工具的特征

1. 低的误报率

2. 零漏报率

3. 一个简洁完整的检测数据库

4. 支持带权限的扫描

5. 对网络流量的影响小

6. 最小的系统影响

7. 直观的和可定制的报告引擎

8. 可定制的检测

9. 企业的可伸缩型

扫描时有较低概率会造成服务崩溃。在现在的环境中，已经没有什么很好的原因会使得系统由于收到了来自扫描器的流量而发生崩溃。如果系统确实发生了崩溃，那么就应该使用更健壮的系统来代替，因为系统的崩溃实际上就是拒绝服务攻击。忽略该问题并不会使问题消失，也不会提高整体的安全态势。

漏洞管理的6个阶段

1. 确定（Identification）

维持一个精确的资产清单

资产清单要包含所有IP相连的设备

确定和分配资产所有者

确保资产分类被记录到资产清单数据库中

2. 评估（Assessment）

给查看工作按优先级排序（首先评估最重要的资产）

首先在实验环境估量和开发评估策略

利用配置、修复和安全工具评估环境

创建一个知道评估执行的标准操作流程

3. 修复（Remediate）

把漏洞资料传递给资产所有者的过程自动化

设定修复基线，这样可以评定修复工作

让各个业务部门在修复时间表上签字认可

4. 报告（Report）

确保报告指明了未解决的问题及相关负责人

根据预期读者来制作报告

报告主要关注高风险漏洞及其和企业关键资产的对应

5. 改进（Improve）

利用资产、配置和评估管理流程中的提高来改进漏洞管理计划

修改安全实践和过程来提高计划执行效率

6. 监控（Monitor）

从一个高水平上理解所有被发现的关键漏洞

不用恐慌，因为只有一小部分新漏洞真正影响到组织

监控包含两个关键因素：核对新的漏洞信息和把可用漏洞资料通知适当的人员。

利用工具来帮助对漏洞进行排序和预报

有一个适当的流程来确保紧急警告被即时发送

漏洞管理方法论

1. 知道你的资产

2. 资产分类

3. 创建资产的基线扫描

4. 对特定资产进行渗透测试

5. 修复漏洞和降低风险

6. 创建漏洞评估进度表

7. 创建补丁和变更管理过程

8. 监控资产面临的新风险

9. 清除风险，然后重复以上工作。