終端安全求生指南（三）--脆弱性管理

脆弱性管理

所有的創新技術對***者來講都是受益的，自動化、眾包，云計算，大數據，移動，社會工程學，所有的創新技術都可以用來進行***，更糟糕的是，***者只需要成功一次，而你需要永遠保持警惕。某種情況下，在你網絡當中充滿著復雜聯系的軟件間之間，脆弱性可被長時間的充分利用，持續管理這些風險對安全來講是非常重要的。

你可能面臨著另外的一個挑戰，那就是來自董事會針對安全以及風險降低和脆弱性管理的不理解，你需要盡你的最大努力依據風險降低與避免潛在影響進行交流。

脆弱性管理準則:

A、優先處理高風險：持續性地掃描終端脆弱性，并盡快處理最高風險的脆弱性。

B、***者和你一樣也在四處尋找：他們有充足的資源，并且需要找到一個可以被充分利用的脆弱來進入，你需要不停地修補漏洞來減少你的***面和降低安全風險。

C、修補危害使命的漏洞：CVSS提供一個有用的模型進行脆弱性排序，并給出了一個標準的方法讓不同的人，部門，組織可以輕松理解。高級的脆弱性管理工具，像tripwire360，包含更多細粒度的模型，這些模型可以提供預測性的“熱圖”的能力，這些可以識別網絡當中高風險更可能成功破壞商業和合作的區域。

BOOT CAMP

1、頻繁地掃描：使用脆弱性掃描工具針對系統清單來識別終端弱點，在遭受***的時候，這些弱點可以被充分利用。當很多組織為持續性掃描不斷努力的時候，在掃描基礎架構/設施時重大投資是必須的，以保障完成掃描結果的評估。同樣，記住一點，人力資源是要求來響應調查結果的。

根據來你具備的資源來選擇一個頻繁掃描的目標對你來講才是現實的，舉例來講，以周為單位的評估對一個組織來講是難以實現的，但是針對另一個組織確是不夠頻繁，你可能同樣想增加掃描的頻率來掃描更加重要的終端或者面向internet的系統。

針對你的掃描結果進行排序，并發送給對應系統的所有者，總結調查結果給予管理，包含風險得分來量化風險的量化程度基于重要程度進行補救排序。tripwire ip360針對內部評估是非常牛逼的;tripwire purecloud針對面向互聯網的終端進行評估也是非常有效的，基于業務內容信息的細粒度評分是交付的關鍵。

2、修復，加固，重復：顯而易見，如果你修復這些問題時，識別他們才有用，一些問題使用業務流程的管理方法進行修復，一些問題要求減少控制與配置變更，不管怎樣，這都是一個持續性的過程。

3、報告/成績單:持續性的掃描可以讓你快速地識別數據的趨勢，通過數據指出你的風險管理程序表現如何，指出同樣風險增減的地方，他們也同樣幫助你公正地進行資源分配，所有的這些都在你的報告當中傳達出來，tripwire的報告產品生成風險報告來幫助呈現安全態勢感知。

ADVANCED TRAINING

4、安全情報來源：和你一樣，***者也在思考用最少的資源和最簡單的方法來工作，使用自動運行的復雜進程，可以讓進行你的網絡變得更加的簡單，這些工具可以讓缺乏***經驗的***執得有效的***，因些，你的脆弱性風險可能增加，由于新的自動化***變得更加有效。購買實時更新的策略內容，設備、應用檢測和脆弱性檢測規則，針對有關于工具的開發，潛在影響排序，特別是針對***發生時會帶來嚴重的破壞。

5、開展深度掃描：取得管理員授權進行掃描，受信任的評估要比不受信任的要花費更長的時間，但是集中的附加信息可以顯著地提高發現與評估的準確性。

6、將SIEM與NIPS相結合使用：在開發各個引擎之間的聯系后面一個核心內容是需要將終端脆弱性與在網絡上活躍的漏洞相結合，通過多來源對比信息將增加信息的有用性與準確性。通過NIPS獲取到的日志各掃描信息的技術優勢，融入到你的日志管理工具當中，tripwire log center集成了tripwire ip360和思科 firepower NGIPS是這種技術運用的一個實際。

COMBAT READY

7、自動修復：如果可以，部署自動化修復的軟件來保持系統軟件自動升級，絕大多數組織當中，人工的努力是無法覆蓋到爆炸式的脆弱性數量增長和他所影響的終端數量。

8、限制掃描時間并針對差異性進行預警：你可以探測不需要的搜索結果，通過定義在授權進行和查找感興趣的事件，發生的外部正常的業務時間在你的SIEM和日志管理當中。tripwire log center可以幫助檢測這一類型的行為。

9、將掃描結果集成到風險系統當中：合并多來源的風險數據，提供一個更加準確的企業風險展示，這將允許你管理風險并展示在安全態勢上的改進。GRC，網絡可視化和免費的風險管理工具可以扮演這個角色，合并風險日志將風險評分“***”到高風險終端的業務所有者變得可能。你需要將潛在的利用風險、可利用度以及***矢量包含到報告當中。例如，tripwire牛叉的產品可以整合風險信息。