漏洞管理：评估

打造识别企业整体攻击面的成熟的漏洞评估能力

漏洞管理是企业安全计划的重要组成部分，也是 Cyber Exposure 的基础核心，后者是数字化时代管理和衡量网络安全风险的一个新兴领域。成熟的漏洞管理 (VM) 计划包含 Cyber Exposure 生命周期中的全部五个步骤。

本篇解决方案概要聚焦于漏洞管理的第二个环节，即评估环节。

评估环节的目的在于了解所有资产的 Cyber Exposure，包括漏洞、配置错误和其他安全健康指标的情况。

主要优势

• 评估完整的攻击面，有助于了解风险并充分保护企业。
• 审查漏洞修补和配置更改，确保漏洞和错误配置按照预期方式修复。
• 事件管理通知与按重要性排序的漏洞和错误配置信息相结合，帮助确定调查优先顺序。

挑战

评估所有资产是一项充满挑战的工作，主要出于两大原因：

• 传统 IT 资产、临时资产、移动资产、动态资产和运营技术资产带来的资产类型多元化要求使用不同的评估技术。主动评估扫描最适合于传统 IT 资产。而云、Web 应用程序、容器和运营技术 (OT) 则需要额外的评估手段。例如，企业应当使用被动监控评估 PLC 和 RTU 等 OT 资产。这种方式能够降低主动扫描对运营造成影响的风险。

• 确保数据真实性。影响安全人员在资产所有者/管理员心目中可靠性的最大因素是评估数据的不准确。一条错误数据就可能导致工作的全盘否定。安全人员需要审慎准备，以便能以最合适的广度、深度和频率进行评估。必须有正确的技术全面评估资产，避免重复计算资产和/或漏洞。必须有最新的凭证以进行经过身份验证的深度评估，并且需要在评估期间运行正确的测试。最后，还必须提供实时信息。

解决方案

成熟的评估功能可识别企业完整的攻击面，它的形成需要历经四个层级，而 Tenable 在每个层级都能够提供帮助。

层级 1.评估本地传统资产

企业应当选择已发现的需要评估的主机，并使用 Nessus Basic Network Scan 模板执行适用于所有主机的内部漏洞扫描。层级 1 评估假设 Nessus 不具备经过身份验证的扫描所需的凭证。因此，Nessus 将自动跳过本地安全检查，该功能包含在 Basic Network Scan 中，但需要凭证才能运行。

层级 2.提升评估广度、深度和频率

企业必须扩大评估广度，将所有现代资产都包含在内进行衡量，实现攻击面的全面管理。Tenable 能够提供专为笔记本电脑、移动设备、虚拟基础设施、云、Web 应用程序、容器和运营技术而优化的评估功能。实现快节奏的 DevOps 流程时，企业需要采纳全新的思维模式、改变应用程序开发的参与方式并探索创新方式实施安全方案。方法之一是在开发阶段将评估集成到软件构建工作流中，避免等到软件资产已部署到生产环境后才进行评估。

企业可以使用经过身份验证的扫描和代理提升深度。经过身份验证的扫描，也称为有凭证式扫描，指使用凭证远程登录设备并由内而外进行检查。经过身份验证的扫描能够由内而外审查设备，因此能够收集到海量与已安装的软件和漏洞相关的安全信息。基于代理的扫描由目标设备中安装的软件执行，能够由内而外检查设备，并提供与经过身份验证的扫描类似的详细信息。代理还能解决临时资产的两大常见问题。一是消除扫描期间从网络中断开的资产无法评估的盲点。二是一个已知的资产（及其漏洞）只会报告一次，即使每次重新连接后 IP 地址会发生变化。

企业应当在评估中纳入恶意软件检测，让经过身份验证的扫描能够在文件系统中搜索已知的恶意软件。此外，此类扫描还能检测多种防病毒产品的安装、更新和运行状态。

企业应当将评估频率由临时扫描提升至定期计划间隔的扫描。在非每周扫描的情况下，扫描间隔至少应当与补丁周期一致。

层级 3.按资产类别评估配置并对评估进行优先级分析

配置评估可以通过禁用不必要的服务，如 FTP 和 RDP，减少资产攻击面，强制实行强身份验证以及广泛强化资产。企业使用互联网安全中心、国防信息系统局以及众多其他供应商的标准评估服务器、台式电脑、笔记本电脑、Web 服务、数据库、云基础设施、网络设备等。请注意：首次根据上述标准评估资产时，可能会发现配置问题数量远高于预期。因此，最开始时需要调整标准减少要求，然后再逐步提升。

评估参数将根据每一类资产的 SLA 定义。资产类别 SLA 能够根据不同业务服务的预期损失大小对评估深度、广度和频率进行微调，以保护攻击面。重要性为“高”的资产类别较其他资产类别的评估更为全面。

层级 4.持续评估资产，并与特权访问管理集成

这一层级加入了接近实时的新资产评估以及评估 SLA 的定期审查。在适用的情况下，还可以将评估集成到特权访问管理系统中。

实时评估能够立即评估新发现的资产。被动监控能够持续识别多种新漏洞，并且能够自动触发主动扫描，从而更加全面地评估新发现的资产。如果新资产在构建镜像中包含了代理，则该代理会自动评估资产并上报评估结果。

SLA 审查确保了评估策略（深度、广度和频率）始终适合于每一类资产。例如，如果负责创收网站的应用程序开发团队近期开始使用容器技术或 Azure，安全人员就需要与其合作更新相关的评估策略。

如果需要定期更改经过身份验证的扫描所需的凭证，那么与特权访问管理 (PAM) 集成是一个大有助益的选择。集成能够自动向扫描程序提供最新的凭证，避免扫描失败。

您如果想要了解更多信息，

请访问 tenable.com

联系我们

请发送电子邮件至 [email protected] 或访问 tenable.com/contact