黑客一直都在掃描互聯網中的漏洞，如果你不想讓你的組織成為受害者，那么你需要成為第一個發現這些漏洞的人。換句話說，你必須采取主動的方法來管理漏洞，而實現此目標的關鍵第一步就是執行漏洞評估。

2021年的漏洞評估工具

漏洞評估是由掃描程序執行的自動化過程，這使得它們可以被廣泛的受眾使用。許多掃描儀都是面向網絡安全專家的，但有些解決方案是為沒有專門安全團隊的組織中的IT經理和開發人員量身定制的。

漏洞掃描程序有多種類型：有些擅長于網絡掃描，有些擅長于Web應用程序，IoT設備或容器安全性。如果你是一家小型企業，則可能會發現一個覆蓋所有或大部分系統的漏洞掃描程序。但是，具有復雜網絡的大型公司可能更喜歡組合多個掃描儀以達到所需的安全級別。

如何執行漏洞評估？

使用正確的工具，你可以通過執行以下步驟來執行漏洞評估：

1.確定要掃描的內容

首先，你需要確定要掃描的內容，這并不是聽起來那么簡單。組織面臨的最常見的網絡安全挑戰之一是其數字基礎架構及其連接的設備缺乏可視性。造成這種情況的原因包括：

?移動設備：智能手機、筆記本電腦和類似設備的設計目的是經常斷開與辦公室，員工住宅以及其他遠程位置的連接并重新連接。

?物聯網設備：物聯網設備是公司基礎架構的一部分，但可能主要連接到移動網絡。

?基于云的基礎架構：云服務提供商可以輕松地根據需要啟動新服務器，而無需IT介入。

我們都希望在一個組織完善的組織中工作，但現實往往更加混亂。簡單地跟蹤不同團隊在任何時候上線或變更的內容是很困難的。缺乏可見性是有問題的，因為很難保護看不到的東西。幸運的是，此過程的發現方面可以很大程度上實現自動化。

例如，某些現代的漏洞評估工具（例如Intruder）可以在面向公眾的系統上執行發現，并直接連接到云提供商，以識別基于云的基礎架構。

顯示已發現系統的攻擊者網絡頁面截圖

2.優先順序

一旦知道了所要解決的問題，下一個問題就是你是否有能力對所有漏洞進行漏洞評估。理想情況下，你將在所有系統上定期運行漏洞評估。但是，供應商經常按資產收取費用，因此在預算不能涵蓋公司擁有的每項資產的情況下，優先級排序可以提供幫助。

以下是一些你希望優先考慮的事情：

?面向互聯網的服務器；

?面向客戶的應用；

?包含敏感信息的數據庫；

?值得注意的是，針對目標或大規模攻擊的兩種最常見的媒介是：

?面向互聯網的系統；

?員工筆記本電腦（通過網絡釣魚攻擊）；

因此，如果你負擔不起其他任何費用，請至少嘗試以上優先順序。

3.漏洞掃描

漏洞掃描程序旨在識別已知的安全漏洞，并提供有關如何修復漏洞的指南。由于這些漏洞通常是公開報告的，因此有很多有關易受攻擊的軟件的信息。

漏洞掃描程序使用此信息來識別組織基礎結構中的易受攻擊的設備和軟件，掃描程序最初將探針發送到系統以識別：

?開放端口并運行服務；

?軟件版本；

?配置設置；

根據此信息，掃描程序通常可以識別被測系統中的許多已知漏洞。

此外，掃描程序還會發送特定的探針來識別單個漏洞，只有通過發送證明存在此漏洞的安全漏洞進行測試。

這些類型的探針可能會識別常見漏洞，例如“命令注入”或“跨站點腳本（XSS）”或系統的默認用戶名和密碼的使用。

根據要掃描的基礎結構（尤其是任何網站的擴展程度），漏洞掃描可能需要幾分鐘到幾小時不等。

4.結果分析與修復

漏洞掃描完成后，掃描程序將提供評估報告。在基于此報告閱讀和制定補救計劃時，應考慮以下事項：

?嚴重性：漏洞掃描程序應根據其嚴重性來標記潛在漏洞。規劃補救措施時，請首先關注最嚴重的漏洞，但要避免永遠忽略其余漏洞。黑客通常會鏈接多個輕微漏洞來創建漏洞，這種情況并不少見。一個好的漏洞掃描程序將為你建議修復每個問題的時間表。

?漏洞暴露：請記住上面的優先級，并非所有漏洞都在面向公眾的系統上。面向互聯網的系統更容易被掃描互聯網的任何隨機攻擊者所利用，從而使它們具有更高的修復優先級。之后，你將要優先考慮安裝了易受攻擊軟件的所有員工筆記本電腦。此外，任何托管特別敏感數據或可能對你的業務造成不利影響的系統都可能需要優先處理其他系統。

在大多數情況下，有一個公開發布的修補程序可以糾正檢測到的漏洞，但是它通常也可能需要更改配置或其他解決方法。應用修復程序后，重新掃描系統以確保正確應用了修復程序也是一個好辦法。

如果不是這樣，系統可能仍然容易受到攻擊。另外，如果補丁程序引入了任何新的安全問題，例如安全性錯誤配置（盡管很少見），則此掃描可能會發現它們并允許對其進行更正。

攻擊者使用獨特的算法來對使你的系統暴露在外的問題進行優先級排序，這樣就特別容易找出存在最大風險的漏洞。

5.持續的網絡安全

漏洞掃描提供了組織數字基礎架構中存在的漏洞的時間點。但是，新的部署、配置更改、新發現的漏洞以及其他因素會使組織迅速變得脆弱。因此，你必須使漏洞管理成為一個連續的過程，而不是一次性的練習。

由于開發軟件時會引入許多漏洞，因此，最先進的軟件開發公司會將自動漏洞評估集成到其持續集成和部署（CI / CD）管道中。

這使得他們可以在軟件發布之前識別和修復漏洞，避免被利用的可能性，以及為漏洞代碼開發和發布補丁的需要。

總結

定期進行漏洞評估對于維護網絡安全至關重要。存在的漏洞數量巨大，而且普通公司的數字基礎設施也很復雜，這意味著一個組織幾乎肯定有至少一個未修補的漏洞，使其處于風險之中。

在攻擊之前發現這些漏洞不僅意味著攻擊失敗，而且讓你的組織付出高昂代價的勒索事件也會少很多。

漏洞評估的一大優點是，你可以自己進行操作，甚至可以自動執行該過程。通過使用正確的工具并進行定期的漏洞掃描，你可以大大降低網絡安全風險。

【白嫖的網安學習資料不要白不要】

總結

以上是生活随笔為你收集整理的漏洞评估的优先级决定了网络安全保护的成本的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。