浅谈资产漏洞管理

我们可以用过年放假来欺骗一下自己的懒惰，但压力一定会随着上班的临近而变得越发清晰。

上班就意味着必须直面各种压力。能稳定焦虑的方法，也许是让一切按照计划去进行。

---

在几个大安全站点闲逛，看看行业里的大事，奇葩事，也不断给自己寻找盲点，是这些年养成的一个习惯，总觉得那些不知道的新名词会让自己看起来像一个非专业人士一样。

国内和国外的企业对漏洞管理的看法存在着比较大的差异，可能和思维方式不同吧。

没有网络安全漏洞，就没有网络攻击与网络威胁。

漏洞管理是安全项目的基础，只有全面了解自家网络上都有些什么，才能有的放矢。如果连网络上有些什么都不知道，又何谈保护？你还得理解网络上每个资产各自的面临的风险，才可以有效确定优先级并加以修复。这其实不能叫漏洞管理，叫资产漏洞管理更准确吧。

（国内的漏洞管理，很多的安全企业有自己的产品，企业有一定开发能力的，可以利用开源平台进行二次开发，比如使用洞察和Semf。洞察，我以为停止维护了，今天才发现现在过度到2.0后在继续更新，Semf也有团队在维护，两个都还不错，如果要求不高，可以拿来自用。）

上表是老外的漏洞管理软件热度前5的产品的指标评分，个人觉得奇怪的是，网络扫描一个都没有，但是国内的产品都有，可能国外更尊重知识产权，而国内很喜欢把各种开源软件的扫描或者漏扫工具整合在平台里。可能国外不喜欢做大而全的东西，所以这里对资产发现的功能实现没有特别要求，奇怪的是都有资产发现了，为嘛不做一个标签呢。可能还是偏重漏洞而不是资产吧，但是没有资产何来漏洞呢。

漏洞管理是每个全面信息安全项目的必备基础，而不是可选项。很多信息安全合规、审计及风险管理框架都要求公司企业拥有并维护好漏洞管理项目。目前国内的资产管理或者是治理梳理的平台工具也都带有漏洞检测功能，因为这个并不难实现。这些产品要想被接受，漏洞检测准确性是一方面，更重要的是做的人性化，符合实际场景的使用习惯。

漏洞管理就是领先漏洞一步，让修复更频繁更有效的一个过程。待修复漏洞必须按照对网络的威胁级别进行优先级排序。领域内各安全公司的漏洞管理方法不一而足，漏洞本身并非活跃威胁，公司企业难以分辨需解决什么漏洞，又该按何种顺序处理。当漏洞数量攀升至惊人水平时，该问题就特别突出了，尤其是在大型网络中甚至会出现百万个漏洞的时候。漏洞太多的时候，真的容易无从下手。

关于漏洞管理过程：漏洞管理过程：发现、报告、优先化及响应。这个是一种过程，没有强调全生命周期的管理。可能默认就是漏洞一定会被干掉吧。还有人提出了一种叫漏洞暂缓的概念，如下图：

漏洞暂缓用于如下情况：漏洞生命周期中出现最多的是无法彻底修复，这个情况的原因会有很多很多，如供应商不见了、该系统准备下线了、该系统很重要框架不敢动、该系统过xx月会升级等等。出现这种情况该怎么办？漏洞暂缓，这个环节专门处理这种无法根治的情况。

《威胁情报手册》里有一段话，给安全人员的建议，个人表示很赞同

建议如下：

• 0-Day不代表最高的优先级；
• 争取时间是关键；
• 严重程度评级可能会产生误导；
• 评估风险的最有效方法是综合分析。

也许可以理解成使用漏洞扫描检测工具扫描出来紧急或者高危那些漏洞，未必是在企业中最危险的漏洞，具体还是要综合评价，当企业有大量漏洞的时候，修复一定有个优先级顺序，那么这个顺序不应该简单的就按照漏洞工具检测出来的报告列出的那些排名靠前的漏洞。

有KPI以后，很多事情都想着有个标准去考量，漏洞管理也是如此

漏洞管理成熟度模型：帮助企业衡量其漏洞管理水平的成熟度，漏洞管理成熟度模型主要包括如下5个阶段：

1. “初始阶段”。企业要么没有任何漏洞管理措施，要么只做临时性的测试。
2. “已管理阶段”。企业可以自发在内部开展漏洞扫描工作，每周或者每月固定开展，但是往往是为了应对外部监管。
3. “已定义阶段”。漏洞管理工作为公司所理解，也受到管理层的一定支持，漏洞扫描更为频繁。
4. “量化管理阶段”。公司企业有可量化、可度量的指标，定义可接受的风险水平。
5. “优化管理阶段”。使用第四阶段定义的度量指标用实现管理提升和优化，所有的优化指标都用于减少组织的受攻击面。

写的有点乱，多是摘抄然后加上个人观点。总结一下，漏洞管理对于企业安全来说非常重要，企业安全不是一个防火墙+waf，就可以的，资产漏洞治理是基础。务必重视。而漏洞管理是个系统工作，涉及面很广，需要领导支持，部门配合的，所以推进成熟也是个渐进的过程吧。