携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第20天,点击查看活动详情
漏洞评估
什么是漏洞评估
漏洞评估是对信息系统中安全漏洞的系统审查。它评估系统是否容易受到任何已知漏洞的影响,为这些漏洞分配严重性级别,并在需要时建议补救或缓解措施。
可以通过漏洞评估预防的威胁示例包括:
- SQL注入、XSS等代码注入攻击。
- 由于错误的身份验证机制而导致的权限升级。
- 不安全的默认值 – 附带不安全设置的软件,例如可猜测的管理员密码。
有几种类型的漏洞评估。这些包括:
- 主机评估 – 对关键服务器的评估,如果未经过充分测试或未从测试的计算机映像生成,则这些服务器可能容易受到攻击。
- 网络和无线评估 – 评估策略和做法,以防止未经授权访问专用或公共网络以及网络可访问的资源。
- 数据库评估 – 评估数据库或大数据系统的漏洞和配置错误,识别恶意数据库或不安全的开发/测试环境,并对组织基础架构中的敏感数据进行分类。
- 应用程序扫描 – 通过在前端自动扫描或对源代码进行静态/动态分析来识别 Web 应用程序及其源代码中的安全漏洞。
这是关于 开源](www.mend.io/open-source…)] 的广泛系列指南的一部分]
漏洞评估:安全扫描过程
安全扫描过程包括四个步骤:测试、分析、评估和修复。
1. 漏洞识别(测试)
此步骤的目标是起草应用程序漏洞的完整列表。安全分析师通过使用自动化工具扫描应用程序、服务器或其他系统,或手动测试和评估它们来测试它们的安全运行状况。分析师还依靠漏洞数据库、供应商漏洞公告、资产管理系统和威胁情报源来识别安全漏洞。
2. 漏洞分析
此步骤的目标是确定步骤 1 中确定的漏洞的来源和根本原因。
它涉及识别负责每个漏洞的系统组件,以及漏洞的根本原因。例如,漏洞的根本原因可能是开源库的旧版本。这为修复提供了一条清晰的路径 - 升级库。
3. 风险评估
此步骤的目标是确定漏洞的优先级。它涉及安全分析师根据以下因素为每个漏洞分配等级或严重性分数:
- 哪些系统会受到影响。
- 哪些数据存在风险。
- 哪些业务功能存在风险。
- 易于攻击或妥协。
- 攻击的严重性。
- 漏洞导致的潜在损害。
4. 补救措施
这一步骤的目标是弥合安全漏洞。这通常是安全人员、开发和运营团队的共同努力,他们确定补救或缓解每个漏洞的最有效途径。
具体的补救措施可能包括:
- 引入新的安全程序、措施或工具。
- 操作或配置更改的更新。
- 漏洞补丁的开发和实施。
漏洞评估不能是一次性活动。为了有效,组织必须实施此过程并定期重复。促进安全、运营和开发团队之间的合作也至关重要,这一过程称为 DevSecOps。
漏洞评估工具
漏洞评估工具旨在自动扫描可能以应用程序为目标的新威胁和现有威胁。工具类型包括:
- 测试和模拟已知攻击模式的 Web 应用程序扫描程序。
- 搜索易受攻击的协议、端口和网络服务的协议扫描程序。
- 网络扫描程序,可帮助可视化网络并发现警告信号,如杂散 IP 地址、欺骗性数据包和从单个 IP 地址生成的可疑数据包。
最佳做法是安排对所有关键 IT 系统的定期、自动扫描。这些扫描的结果应输入到组织正在进行的漏洞评估过程中。
