什么是脆弱性?
在信息安全技术《信息安全风险评估规范GB/T 20984-2018标准》中对于脆弱性的解释是“可能被威胁所利用的资产或若干资产的薄弱环节”。
当然脆弱性也可称为弱点或漏洞,脆弱性一旦被威胁成功利用就可能对资产造成损害。脆弱性可能存在于物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。脆弱性是风险评估的基本要素。脆弱性依附在资产上,资产具有的脆弱性越多则其风险越大,脆弱性是未被满足的安全需求,威胁者可利用脆弱性从而危害资产。
注:我们今天讨论的是软件层面的脆弱性,如:操作系统、应用程序等。
说到脆弱性很多人会将其跟漏洞画上等号,但其实不尽然,脆弱性还包含了弱口令和基线配置,虽然严格意义上讲,弱口令也是一种漏洞,但其和常规意义上的漏洞还有一定的区别,因此将其单独摘录出来。
如何有效检出脆弱性
01漏洞检测
漏洞检测从大的分类来看主要分为两类,基于主机的扫描分析和基于网络的扫描分析,主机