什么 Is a Vulnerability Assessment? And How to Conduct One

加入27,000多个网络安全通讯订阅者

漏洞评估是识别，分类和确定IT基础架构中安全漏洞优先级的过程。全面的漏洞评估可评估IT系统是否暴露于已知漏洞，将严重性级别分配给已识别的漏洞，并在需要时建议采取补救措施或缓解措施。

漏洞评估是一种常见的安全程序，因为它可以提供对漏洞评估的详细视图。安全风险组织可能面临的挑战，使他们能够更好地保护自己的信息技术并敏感数据 from 网络威胁.

漏洞可以在由...管理的应用程序中找到第三方供应商或内部制作的软件，一旦发现，便很容易修复许多缺陷。

为什么脆弱性评估很重要？

漏洞评估很重要，因为它为您提供了有关环境中的安全漏洞的信息，并提供了有关在问题得以解决之前如何修复或缓解这些问题的指导。被剥削.

通过此过程，您可以更好地了解IT基础结构，安全漏洞和整体风险，从而大大提高信息安全性和应用程序安全性标准，同时减少网络犯罪分子未经授权访问您的组织的可能性。

什么 are the different types of 脆弱性 assessment?

漏洞评估有几种类型：

基于网络的评估： 用于识别可能的网络安全问题，并可以检测有线和无线网络上的易受攻击的系统。
基于主机的评估： 用于查找和识别服务器，工作站和其他网络主机中的漏洞。该扫描通常检查打开端口和服务，并且可以提供对扫描系统的配置设置和补丁程序管理的可见性。
无线网络评估： 用于扫描Wi-Fi网络和攻击载体在无线网络基础架构中。它可以验证您的公司'安全地配置了网络，以防止未经授权的访问，并且还可以识别恶意访问点。
应用评估： 通过使用前端上的自动漏洞扫描工具或源代码的静态/动态分析来识别Web应用程序及其源代码中的安全漏洞。
数据库评估： 评估数据库或大数据系统的漏洞和错误配置，识别恶意数据库或不安全的开发/测试环境，以及进行分类敏感数据 to improve 数据安全.

什么 is the security vulnerability assessment process?

安全漏洞过程包括五个步骤：

漏洞识别： 分析网络扫描，笔测试结果，防火墙日志和漏洞扫描结果，以发现表明存在以下情况的异常：网络攻击可以利用漏洞。
漏洞分析： 确定是否可以利用已识别的漏洞，并对漏洞的严重程度进行分类利用了解安全风险的级别。
风险评估： 根据其漏洞，评估哪些漏洞将首先得到缓解或修复蠕虫 and other risks.
补救措施： 尽可能更新受影响的软件或硬件。
减轻： 确定对策以及在没有补丁的情况下如何衡量其有效性。

漏洞评估过程是以下方面的关键组成部分漏洞管理和IT风险管理生命周期，必须定期进行以确保有效。

欲获得更多信息，请参阅我们的漏洞管理指南.

1.漏洞识别

漏洞识别是发现并列出IT基础架构中漏洞的完整列表的过程。

通常，这是通过自动漏洞扫描和手动操作相结合来实现的渗透测试.

漏洞扫描程序可以评估计算机，网络或Web应用程序中的已知漏洞，例如：常见漏洞和披露（CVE）.

漏洞测试可以通过经过身份验证或未经身份验证的扫描运行：

认证扫描： 允许漏洞扫描程序使用远程管理协议访问网络资源，并使用提供的系统凭据进行身份验证。经过身份验证的扫描的好处在于，它们可以访问低级数据，例如特定服务，配置详细信息以及有关操作系统，已安装软件，配置问题，访问控制，安全控制和补丁管理。
未经身份验证的扫描： 唐'•提供对网络资源的访问，这可能导致误报和有关操作系统和已安装软件的不可靠信息。网络攻击者和IT安全分析人员通常使用这种类型的扫描来尝试确定外部资产的安全状态，第三方供应商 and to find possible 数据泄漏.

像任何安全测试一样，漏洞扫描不会'完美，这就是为什么使用诸如渗透测试之类的其他技术的原因。渗透测试是一种测试信息技术资产以发现可利用的漏洞的实践，可以通过软件自动执行或手动执行。

无论是自动运行还是由安全团队手动执行，笔测试都可以发现安全漏洞并可能攻击载体漏洞扫描工具遗漏的漏洞。它也可以用来测试内部安全控制，遵守信息安全政策，员工对社会工程学攻击 like 网络钓鱼 or 鱼叉式网络钓鱼，以及测试事件响应计划.

2.漏洞分析

识别漏洞后，您需要确定造成每个漏洞的组件以及安全漏洞的根本原因。例如，该漏洞的根本原因可能是开放源代码库的版本过旧。

在这种情况下，有一个明确的补救途径，可以升级磁带库。但是，有'总是一个简单的解决方案，这就是组织为什么经常需要通过安全评估过程来运行每个漏洞的过程，该过程对漏洞的严重程度进行分类，确定可能的解决方案，并根据组织决定是否接受，补救或减轻已识别的风险'的风险管理策略。

3.风险评估

此步骤的目的是确定漏洞的优先级。这通常涉及使用为每个漏洞分配等级或严重性的漏洞评估工具。

例如， UpGuard BreachSight，攻击面管理工具，使用通用漏洞评分系统（CVSS）分数，根据漏洞的主要特征和严重性，将数字分数分配为0到10。

话虽如此，任何好的漏洞评估报告都将考虑其他因素，例如：

什么 system is affected
什么敏感数据存储在系统上，例如个人身份信息（PII） or 受保护的健康信息（PHI）
什么 business functions rely on the system
易于攻击或妥协
成功利用漏洞的业务影响
该漏洞是可以从Internet访问还是需要物理访问
漏洞的严重程度
您的组织有任何法规要求，例如注册会计师, FISMA, GLBA, 皮派达, LGPD, 23 NYCRR 500, FIPA，PCI DSS，HIPAA或 SHIELD法案
您行业中数据泄露的成本

在此处阅读有关如何进行IT网络安全风险评估的指南.

4.补救措施

补救涉及修复在风险评估过程中被认为不可接受的任何安全问题。通常，这是开发，运营，法规遵从，风险管理和安全团队之间的共同努力，他们决定采用经济有效的方法来补救每个漏洞。

许多漏洞管理系统将提供针对常见漏洞的推荐补救技术，这些技术可以像安装容易获得的安全补丁一样简单，也可以像更换硬件一样复杂。

具体的修复步骤将因漏洞而异，但通常包括：

更新操作程序
发展健壮配置管理流程
补丁软件

5.缓解

并非每个漏洞都可以得到补救，这就是缓解的源头。缓解的重点在于降低利用漏洞的可能性或减少利用的影响。

具体的缓解步骤会有所不同，具体取决于您的风险承受能力和预算，但通常包括：

引入新的安全控制
更换硬件或软件
加密
供应商风险管理
攻击面管理
持续的安全监控

什么 potential threats can be prevented by 脆弱性 assessment?

示例网络攻击漏洞评估可以防止的情况包括：

特权升级攻击： 特权升级是开发编程错误脆弱性，设计缺陷，配置监督或访问控制在操作系统或应用程序中获取权限，以获取对通常受到应用程序或用户限制的资源的未经授权的访问。在此处阅读有关特权升级的更多信息.
SQL注入： SQL注入攻击通过表单输入或Web应用程序中的另一个数据提交字段将无效或不受信任的数据发送到代码解释器时发生。成功的注射攻击可能导致数据泄漏，数据损坏，数据泄露，责任追究和拒绝访问。
XSS攻击： 跨站点脚本（XSS）是一种安全漏洞通常在Web应用程序中找到。 XSS使攻击者能够将客户端脚本注入其他用户查看的网页中，并可能被用来绕过访问控制，例如同源政策。 XSS的影响范围从小到大网络安全风险，具体取决于易受攻击的网站处理的数据的敏感性以及所实施的缓解措施的性质。在此处阅读有关跨站点脚本的更多信息.
不安全的默认值： It'对于软件和硬件，通常会附带不安全的设置（例如，容易猜到的密码），以使注册更加容易。从可用性的角度来看，这是件好事，但许多人仍然完整保留这些默认配置，这可能会使它们暴露在外。