博客
什么 Is a Vulnerability Assessment? And How to Conduct One

什么 Is a Vulnerability Assessment? And How to Conduct One

抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

漏洞评估是识别,分类和确定IT基础架构中安全漏洞优先级的过程。全面的漏洞评估可评估IT系统是否暴露于已知漏洞,将严重性级别分配给已识别的漏洞,并在需要时建议采取补救措施或缓解措施。 

漏洞评估是一种常见的安全程序,因为它可以提供对漏洞评估的详细视图。 安全风险 组织可能面临的挑战,使他们能够更好地保护自己的信息技术并 敏感数据 from 网络威胁

漏洞 可以在由...管理的应用程序中找到 第三方供应商 或内部制作的软件,一旦发现,便很容易修复许多缺陷。 

为什么脆弱性评估很重要?

漏洞评估很重要,因为它为您提供了有关环境中的安全漏洞的信息,并提供了有关在问题得以解决之前如何修复或缓解这些问题的指导。 被剥削.

通过此过程,您可以更好地了解IT基础结构,安全漏洞和整体风险,从而大大提高信息安全性和应用程序安全性标准,同时减少网络犯罪分子未经授权访问您的组织的可能性。 

什么 are the different types of 脆弱性 assessment?

漏洞评估有几种类型:

  • 基于网络的评估: 用于识别可能的网络安全问题,并可以检测有线和无线网络上的易受攻击的系统。 
  • 基于主机的评估: 用于查找和识别服务器,工作站和其他网络主机中的漏洞。该扫描通常检查 打开端口 和服务,并且可以提供对扫描系统的配置设置和补丁程序管理的可见性。
  • 无线网络评估: 用于扫描Wi-Fi网络和 攻击载体 在无线网络基础架构中。它可以验证您的公司'安全地配置了网络,以防止未经授权的访问,并且还可以识别恶意访问点。
  • 应用评估: 通过使用前端上的自动漏洞扫描工具或源代码的静态/动态分析来识别Web应用程序及其源代码中的安全漏洞。
  • 数据库评估: 评估数据库或大数据系统的漏洞和错误配置,识别恶意数据库或不安全的开发/测试环境,以及进行分类 敏感数据 to improve 数据安全.

什么 is the security vulnerability assessment process?

安全漏洞过程包括五个步骤:

  1. 漏洞识别: 分析网络扫描,笔测试结果,防火墙日志和漏洞扫描结果,以发现表明存在以下情况的异常: 网络攻击 可以利用漏洞。 
  2. 漏洞分析: 确定是否可以利用已识别的漏洞,并对漏洞的严重程度进行分类 利用 了解安全风险的级别。
  3. 风险评估: 根据其漏洞,评估哪些漏洞将首先得到缓解或修复 蠕虫 and other risks. 
  4. 补救措施: 尽可能更新受影响的软件或硬件。
  5. 减轻: 确定对策以及在没有补丁的情况下如何衡量其有效性。

漏洞评估过程是以下方面的关键组成部分 漏洞管理 和IT风险管理生命周期,必须定期进行以确保有效。

欲获得更多信息, 请参阅我们的漏洞管理指南.

1.漏洞识别

漏洞识别是发现并列出IT基础架构中漏洞的完整列表的过程。 

通常,这是通过自动漏洞扫描和手动操作相结合来实现的 渗透测试.

漏洞扫描程序可以评估计算机,网络或Web应用程序中的已知漏洞,例如: 常见漏洞和披露(CVE)

漏洞测试可以通过经过身份验证或未经身份验证的扫描运行:

  • 认证扫描: 允许漏洞扫描程序使用远程管理协议访问网络资源,并使用提供的系统凭据进行身份验证。经过身份验证的扫描的好处在于,它们可以访问低级数据,例如特定服务,配置详细信息以及有关操作系统,已安装软件,配置问题, 访问控制,安全控制和补丁管理。
  • 未经身份验证的扫描: 唐'•提供对网络资源的访问,这可能导致误报和有关操作系统和已安装软件的不可靠信息。网络攻击者和IT安全分析人员通常使用这种类型的扫描来尝试确定外部资产的安全状态, 第三方供应商 and to find possible 数据泄漏.

像任何安全测试一样,漏洞扫描不会'完美,这就是为什么使用诸如渗透测试之类的其他技术的原因。渗透测试是一种测试信息技术资产以发现可利用的漏洞的实践,可以通过软件自动执行或手动执行。 

无论是自动运行还是由安全团队手动执行,笔测试都可以发现安全漏洞并可能 攻击载体 漏洞扫描工具遗漏的漏洞。它也可以用来测试内部安全控制,遵守 信息安全政策,员工对 社会工程学攻击 like 网络钓鱼 or 鱼叉式网络钓鱼,以及测试 事件响应计划.  

2.漏洞分析

识别漏洞后,您需要确定造成每个漏洞的组件以及安全漏洞的根本原因。例如,该漏洞的根本原因可能是开放源代码库的版本过旧。 

在这种情况下,有一个明确的补救途径,可以升级磁带库。但是,有'总是一个简单的解决方案,这就是组织为什么经常需要通过安全评估过程来运行每个漏洞的过程,该过程对漏洞的严重程度进行分类,确定可能的解决方案,并根据组织决定是否接受,补救或减轻已识别的风险'的风险管理策略。

3.风险评估

此步骤的目的是确定漏洞的优先级。这通常涉及使用为每个漏洞分配等级或严重性的漏洞评估工具。 

例如, UpGuard BreachSight攻击面管理 工具,使用通用漏洞评分系统(CVSS)分数,根据漏洞的主要特征和严重性,将数字分数分配为0到10。 

话虽如此,任何好的漏洞评估报告都将考虑其他因素,例如:

在此处阅读有关如何进行IT网络安全风险评估的指南.

4.补救措施

补救涉及修复在风险评估过程中被认为不可接受的任何安全问题。通常,这是开发,运营,法规遵从,风险管理和安全团队之间的共同努力,他们决定采用经济有效的方法来补救每个漏洞。  

许多 漏洞管理 系统将提供针对常见漏洞的推荐补救技术,这些技术可以像安装容易获得的安全补丁一样简单,也可以像更换硬件一样复杂。

具体的修复步骤将因漏洞而异,但通常包括:

5.缓解

并非每个漏洞都可以得到补救,这就是缓解的源头。缓解的重点在于降低利用漏洞的可能性或减少利用的影响。 

具体的缓解步骤会有所不同,具体取决于您的风险承受能力和预算,但通常包括:

什么 potential threats can be prevented by 脆弱性 assessment?

示例 网络攻击 漏洞评估可以防止的情况包括:

  • 特权升级攻击: 特权升级是 开发 编程错误 脆弱性,设计缺陷,配置监督或 访问控制 在操作系统或应用程序中获取权限,以获取对通常受到应用程序或用户限制的资源的未经授权的访问。 在此处阅读有关特权升级的更多信息
  • SQL注入: SQL注入攻击 通过表单输入或Web应用程序中的另一个数据提交字段将无效或不受信任的数据发送到代码解释器时发生。成功的注射攻击可能导致 数据泄漏,数据损坏, 数据泄露,责任追究和拒绝访问。
  • XSS攻击: 跨站点脚本(XSS)是一种 安全漏洞 通常在Web应用程序中找到。 XSS使攻击者能够将客户端脚本注入其他用户查看的网页中,并可能被用来绕过 访问控制,例如同源政策。 XSS的影响范围从小到大 网络安全风险,具体取决于易受攻击的网站处理的数据的敏感性以及所实施的缓解措施的性质。 在此处阅读有关跨站点脚本的更多信息
  • 不安全的默认值: It'对于软件和硬件,通常会附带不安全的设置(例如,容易猜到的密码),以使注册更加容易。从可用性的角度来看,这是件好事,但许多人仍然完整保留这些默认配置,这可能会使它们暴露在外。 

什么 are the different types of 脆弱性 assessment tools?

漏洞评估工具旨在自动扫描IT基础结构中的新威胁和现有威胁。工具类型包括:

  • 映射出 攻击面 并模拟已知的攻击向量
  • 协议扫描程序,用于搜索易受攻击的协议,端口和其他服务
  • 网络扫描仪可帮助可视化网络并发现网络漏洞,例如流失的IP地址,欺骗性数据包和可疑的数据包生成

It'最佳做法是安排对所有基础结构进行定期的自动扫描,并将结果用作正在进行的漏洞评估过程的一部分。 

UpGuard BreachSight 会每天自动扫描攻击面是否存在漏洞。 

什么'漏洞评估和渗透测试之间的区别是什么?

如上所述,漏洞评估通常包括渗透测试,以识别自动扫描可能未检测到的漏洞。此过程通常称为漏洞评估/渗透测试(VAPT)。

话虽如此,仅渗透测试是不可行的'足以作为完整的漏洞评估。漏洞评估旨在发现漏洞,并建议采取适当的缓解或补救措施以减少或消除已识别的风险。

相比之下,渗透测试涉及识别漏洞并尝试利用它们来攻击系统,从而导致漏洞。 数据泄露, 要么 公开敏感数据。尽管这可以作为漏洞评估的一部分来进行,但渗透测试的主要目的是检查是否存在可利用的漏洞。 

阅读我们关于渗透测试的完整文章,了解更多信息.

UpGuard如何帮助进行漏洞评估

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard'的安全等级以保护其数据, 防止数据泄露 并评估其安全操作。

为了评估您的信息安全控制, UpGuard BreachSight 可以监视您的组织以进行70多种安全控制,从而提供简单易懂的信息 网络安全等级 并自动检测S3存储桶,Rsync服务器,GitHub存储库等中泄漏的凭据和数据暴露。

UpGuard BreachSight的“漏洞”模块列出了已发布的漏洞,这些漏洞可以在IT基础结构上运行的软件中加以利用。这些漏洞是通过HTTP标头和网站内容中公开的信息自动识别的。 

每个识别出的漏洞都有一个CVSS,CVSS是为捕获漏洞的主要特征而开发的已发布标准,该漏洞产生的数字得分在0到10之间,反映了其严重性。  

UpGuard供应商风险 可以最大程度地减少您的组织用于评估相关和第三方的时间 信息安全 通过自动化控制 供应商问卷 and providing 供应商问卷模板.

我们还可以帮助您立即针对您当前和潜在的供应商与他们的行业进行基准比较,以便您了解它们的堆叠方式。

UpGuard与其他安全评级供应商之间的主要区别在于,有非常公开的证据表明我们在预防 数据泄露 and 数据泄漏

我们的专业知识在以下方面得到了体现: 纽约时报华尔街日报彭博社华盛顿邮报福布斯路透社和 TechCrunch。

您可以详细了解我们的客户在说什么 Gartner评论.

如果你'd想看你的组织's security rating, 单击此处请求免费的网络安全评级.

立即获得UpGuard平台的7天免费试用.

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状