终端安全求生指南（三）--脆弱性管理

脆弱性管理

所有的创新技术对***者来讲都是受益的，自动化、众包，云计算，大数据，移动，社会工程学，所有的创新技术都可以用来进行***，更糟糕的是，***者只需要成功一次，而你需要永远保持警惕。某种情况下，在你网络当中充满着复杂联系的软件间之间，脆弱性可被长时间的充分利用，持续管理这些风险对安全来讲是非常重要的。

你可能面临着另外的一个挑战，那就是来自董事会针对安全以及风险降低和脆弱性管理的不理解，你需要尽你的最大努力依据风险降低与避免潜在影响进行交流。

脆弱性管理准则:

A、优先处理高风险：持续性地扫描终端脆弱性，并尽快处理最高风险的脆弱性。

B、***者和你一样也在四处寻找：他们有充足的资源，并且需要找到一个可以被充分利用的脆弱来进入，你需要不停地修补漏洞来减少你的***面和降低安全风险。

C、修补危害使命的漏洞：CVSS提供一个有用的模型进行脆弱性排序，并给出了一个标准的方法让不同的人，部门，组织可以轻松理解。高级的脆弱性管理工具，像tripwire360，包含更多细粒度的模型，这些模型可以提供预测性的“热图”的能力，这些可以识别网络当中高风险更可能成功破坏商业和合作的区域。

BOOT CAMP

1、频繁地扫描：使用脆弱性扫描工具针对系统清单来识别终端弱点，在遭受***的时候，这些弱点可以被充分利用。当很多组织为持续性扫描不断努力的时候，在扫描基础架构/设施时重大投资是必须的，以保障完成扫描结果的评估。同样，记住一点，人力资源是要求来响应调查结果的。

根据来你具备的资源来选择一个频繁扫描的目标对你来讲才是现实的，举例来讲，以周为单位的评估对一个组织来讲是难以实现的，但是针对另一个组织确是不够频繁，你可能同样想增加扫描的频率来扫描更加重要的终端或者面向internet的系统。

针对你的扫描结果进行排序，并发送给对应系统的所有者，总结调查结果给予管理，包含风险得分来量化风险的量化程度基于重要程度进行补救排序。tripwire ip360针对内部评估是非常牛逼的;tripwire purecloud针对面向互联网的终端进行评估也是非常有效的，基于业务内容信息的细粒度评分是交付的关键。

2、修复，加固，重复：显而易见，如果你修复这些问题时，识别他们才有用，一些问题使用业务流程的管理方法进行修复，一些问题要求减少控制与配置变更，不管怎样，这都是一个持续性的过程。

3、报告/成绩单:持续性的扫描可以让你快速地识别数据的趋势，通过数据指出你的风险管理程序表现如何，指出同样风险增减的地方，他们也同样帮助你公正地进行资源分配，所有的这些都在你的报告当中传达出来，tripwire的报告产品生成风险报告来帮助呈现安全态势感知。

ADVANCED TRAINING

4、安全情报来源：和你一样，***者也在思考用最少的资源和最简单的方法来工作，使用自动运行的复杂进程，可以让进行你的网络变得更加的简单，这些工具可以让缺乏***经验的***执得有效的***，因些，你的脆弱性风险可能增加，由于新的自动化***变得更加有效。购买实时更新的策略内容，设备、应用检测和脆弱性检测规则，针对有关于工具的开发，潜在影响排序，特别是针对***发生时会带来严重的破坏。

5、开展深度扫描：取得管理员授权进行扫描，受信任的评估要比不受信任的要花费更长的时间，但是集中的附加信息可以显著地提高发现与评估的准确性。

6、将SIEM与NIPS相结合使用：在开发各个引擎之间的联系后面一个核心内容是需要将终端脆弱性与在网络上活跃的漏洞相结合，通过多来源对比信息将增加信息的有用性与准确性。通过NIPS获取到的日志各扫描信息的技术优势，融入到你的日志管理工具当中，tripwire log center集成了tripwire ip360和思科 firepower NGIPS是这种技术运用的一个实际。

COMBAT READY

7、自动修复：如果可以，部署自动化修复的软件来保持系统软件自动升级，绝大多数组织当中，人工的努力是无法覆盖到爆炸式的脆弱性数量增长和他所影响的终端数量。

8、限制扫描时间并针对差异性进行预警：你可以探测不需要的搜索结果，通过定义在授权进行和查找感兴趣的事件，发生的外部正常的业务时间在你的SIEM和日志管理当中。tripwire log center可以帮助检测这一类型的行为。

9、将扫描结果集成到风险系统当中：合并多来源的风险数据，提供一个更加准确的企业风险展示，这将允许你管理风险并展示在安全态势上的改进。GRC，网络可视化和免费的风险管理工具可以扮演这个角色，合并风险日志将风险评分“***”到高风险终端的业务所有者变得可能。你需要将潜在的利用风险、可利用度以及***矢量包含到报告当中。例如，tripwire牛叉的产品可以整合风险信息。