本文介绍了SCAP安全标准框架,包括XCCDF、OVAL、CVE等元素,以及NVD和CVSS在漏洞管理中的作用。讨论了漏洞管理的信息收集、管理和输出过程,并概述了弱点扫描的三种类型。提到了常用的漏洞扫描工具如Nmap、OpenVAS、Nessus和Nexpose,特别强调了OpenVAS在Kali Linux中的应用。
发现漏洞
国际上漏洞机构
SCAP (Security Content Automation Protocol)
SCAP是一个集合了多种公开的安全标准的框架,这些公开的安全标准被称为SCAP Element,SCAP版本1.0包含六个Element:XCCDF、OVAL、CVE、CCE、CPE、CVSS。SCAP包含了Protocol与Content,Protocol规范了Element之间如何协同工作,Content指按照Protocol的约定,利用Element描述的生成应用于实际检查工作的数据,其实体是一个或多个XML文件,一般来说正式发布的SCAP Content至少包含两个XML文件,一个是XCCDF,另一个是OVAL,这些文件能够直接输入到各类安全工具中执行实际的系统扫描。SCAP是当前美国比较成熟的一套信息安全评估标准体系,其标准化、自动化的思想对信息安全行业产生了深远的影响。
XCCDF (Extensible Configuration Checklist Description Format)
是一种用来定义安全检查单、安全基线、以及其他类似文档的一种描述语言。XCCDF使用标准的XML语言格式按照一定的格式对其内容进行描述。
OVAL (Open Vulnerability and Assessment Language)
OVAL是一种用来定义检查项、脆弱点等技术细节的种描述语言。其使用了标准的XML格式内容,可以用于分析Windows、Linux等各种操作系统的系统状态、漏洞、配置、补丁等情况,可导入自动化检测工具中实施漏洞检测工作,而且还能用于描述测试报告。
CVE (Common Vulnerabilities andExposures)
CVE是包含了公众已知的信息安全漏洞的信息和披露的集合,是已公开的信息安全漏洞字典,具有统一的漏洞编号标准,也是实现不同厂商之间信息交换的统一标准。CCE(Common Configuration Enumeration:通用配置枚举)是用于描述计算机及设备配置的标准化语言。CPE(Common Platform Enumeration:通用平台枚举)是一种对应用程序、操作系统以及硬件设备进行描述和标识的标准化方案。也有很多厂商维护自己的Vulnerability Reference,如微软的MS、MSKB。
CVSS (Common Vulnerability Scoring System)
CVSS是一个行业公开标准,是描述安全漏洞严重程度的统一评分方案。通常CVSS与CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新,其分值范围: 0-10,不同机构按CVSS分值定义威胁的中、高、低威胁级别。
NVD (National Vulnerability Database)
NVD是美国政府的漏洞管理标准数据库,完全基于SCAP框架,实现自动化漏洞管理、安全测量、合规要求。
漏洞管理
周期性扫描跟踪漏洞
高危漏洞优先处理
扫描注意事项
漏洞管理三要素
a.准确性
b.时间
c.资源
从信息的维度定义漏洞管理
a.信息收集;
扫描发现网络ip,OS,服务,配置,漏洞
能力需求:定义扫描方式内容和目标
b.信息管理;
格式化信息,并进行筛选,分组,定义优先级
能力需求:资产分组,指定所有者,向所有者报告漏洞
c.信息输出;
向不同层级的人群展示足够的信息量
能力需求:生成报告,导出数据,与SIEM集成
弱点扫描
弱点扫描类型
a.主动扫描
有身份验证
无身份验证
b.被动扫描
镜像端口抓包
其他来源输入
最低0.47元/天 解锁文章
6611
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
