漏洞管理基础：您需要了解的要点

我们的漏洞管理基本原则系列分为五个部分，在第一部分中我们将探索 Cyber Exposure 生命周期的四个阶段。

真理从来都存在于简单之中，而不是事物的多样性与混乱。

—艾萨克·牛顿爵士

Tenable 在 Cyber Exposure 领域敢为人先，不断取得突破，帮助网络安全团队衡量和管理网络风险。对于向业务利益相关者传达网络风险，以及确保将网络安全作为关键输入变量纳入战略业务决策而言，Cyber Exposure 具有重要意义。 

实现 Cyber Exposure 的核心在于强大的漏洞管理 (VM) 计划。事实上，如果没有 VM 奠定的基础，Cyber Exposure 就无法起效。当今世界遍布安全威胁、新兴工具和不断延展的监管，我们很容易忽视安全的基本原则：即通过识别和修复最重要资产中的漏洞来降低网络风险。VM 过程包括识别和分类整个攻击面上的所有资产、评估这些资产的安全漏洞、确定缓解安全问题的优先级，并应用适当的修复措施。 

事实上，只要认真了解一下 Cyber Exposure 生命周期，就可以发现 VM 对 Cyber Exposure 的重要性。VM 有助于企业发现、评估、分析和修复整个攻击面中的风险。本博客系列分为五个部分，我们将研究这一生命周期的各个步骤，说明 VM 的基本原则如何帮助降低网络风险。我们首先做个简单的概述。 

1. 发现 - 资产发现和分类 

正如古老的安全格言所说：“您无法保护看不到的东西。”维护全面的资产清单并持续更新是 VM 最基本也最重要的环节。当今日益复杂的 IT 环境涵盖了本地和云基础设施、移动设备、短期和临时资产、Web 应用程序、IoT 设备等，因此维护全面的资产清单绝非易事。这项工作始于根据业务影响和风险两方面进行全面的资产发现和分类。请切记，基础设施是不断变化的。因此必须持续进行资产发现和分类。

了解详情：参与我们即将举办的网络研讨会：“如何掌握漏洞管理的基本原则第 1 部分：资产发现和分类”，2019 年 7 月 31 日下午 2 点（美国东部时间），获取有关此话题的实用建议。

2. 评估 - 全面持续的漏洞评估 

拥有了全面的资产清单后，就可以评估资产中的漏洞，从而获得有关攻击面和风险的清晰图景。其中平衡漏洞评估的深度、广度和频率很重要，要在同一基础上全面实现这三个目标困难重重。深度评估涉及授权扫描和代理，能够提供丰富的漏洞数据，但可能会占用大量时间并消耗资产资源。广度和频率评估也会受到业务运营的限制。与其他安全活动一样，必须做到安全和业务需求间的平衡，并利用流程调整和工具来实现评估目标。 

3. 分析 - 漏洞分析和排序 

在此阶段，将遇到所有漏洞管理和安全计划的传统挑战：数据过载。漏洞评估所展示出的严重和高危漏洞数量，很可能远超合理时间内可以处理的范围。那么该如何确定漏洞修复的优先级？方法是专注于最有可能遭到利用的漏洞和资产。请注意：这并不意味着就应该忽略其余漏洞和资产，相反，应该根据业务影响和风险确定优先级。

4. 修复 - 漏洞修复和验证

漏洞修复和结果验证是 VM 生命周期的最后一步。大量数据外泄都是因长期未修补的已知漏洞所致。但与其他步骤一样，修补本身也存在挑战。其中的困难包括如何准确了解应用哪些补丁可以最大程度降低风险。同样困难的还有识别资产所有者，并敦促他们暂缓其他业务活动，优先完成修补工作。同时修补还会耗费大量时间，并导致部分资产停机。在进行修补时，可能需要利用其他安全系统来保护资产。最后，需要验证修补是否成功，业务风险是否已实际降低。

请切记，VM 是一个持续性的过程。本博客中探讨的漏洞管理生命周期步骤必须持续反复进行，才能确保 Cyber Exposure 实践取得效果。在后续的博客文章中，我们将深入探讨 VM 生命周期的各个步骤。敬请期待。