1. 漏洞管理 (信息维度) (1). 信息收集
扫描发现网络 IP、OS、服务、配置、漏洞 能力需求: 定义扫描方式内容和目标
(2). 信息管理格式化信息, 并进行筛选、分组、定义优先级
- 能力需求: 资产分组、指定所有者、向所有者报告漏洞
(3). 信息输出向不同层级的人群展示足够的信息量
能力需求: 生成报告、导出数据、与 SIEM 集成 2. 弱点扫描类型
(1). 主动扫描有身份验证 (登陆到系统中进行扫描)
无身份验证 (黑盒扫描)
(2). 被动扫描镜像端口抓包
其他来源 (嗅探)
(3). 基于 agent 扫描平台有限
3. 漏洞基本概念
(1).CVSS(Common Vulnerability Scoring System)
通用漏洞评分系统
是安全内容自动化协议 (SCAP) 的一部分
分值 0-10 行业公开标准, 其被设计用来评测漏洞的严重程度
帮助确定所需反应的紧急度和重要度
CVSS 同 CVE 一同由美国国家漏洞库 (NVD) 发布并保持数据的更新(2).CVE(Common Vulnerabilities and Exposures)
为漏洞和暴露确定了唯一的名称以及一个标准化的描述
实现更好的协同工作
MITRE 公司负责维护
CVE 发布流程
发现漏洞
CAN 负责指定 CVE ID
发布到 CVE List —— CVE-2008-4250
MITRE 负责对内容进行编辑维护
(3). 厂商漏洞库
微软 MS MSKB
CERT TA08-297A 计算机安全应急响应组
BID 31874 英政府
IAVM 2008-A-0081
OVAL OVAL6093 描述漏洞检测方法的机器可识别语言
(4). 其他标准 OVAL
描述漏洞检测方法的机器可识别语言 详细的描述漏洞检测的技术细节, 可导入自动化检测工具中实施漏洞检测工作 OVAL 使用 XML 语言描述, 包含了严密的语法逻辑
CCE
- 描述软件配置缺陷的一种标准化格式
在信息安全风险评估中, 配置缺陷的检测是一项重要内容, 使用 CCE 可以让配置 缺陷以标准的方式展现出来, 便于配置缺陷评估的可量化操作。
CPE(Common Product Enumeration) 信息技术产品、系统、软件包的结构化命名规范, 分类命名
CWE(Common Weakness Enumeration) 常见漏洞类型的字典, 描述不同类型漏洞的特征 (访问控制、信息泄露、拒绝服 务)
(5).SCAP(Security Content Automation Protocol)
集合了多种安全标准框架
六个元素: CVE、OVAL、CCE、CPE、 CVSS、XCCDF
- 目的是以标准的方法展示和操作安全数据
NIST(美国国家标准与技术研究院) 维护
SCAP 主要解决三个问题 实现高层政策法规等到底层实施的落地 (如 FISMA,ISO27000 系列)
- 将信息安全所涉及的各个要素标准化 (如统一漏洞的命名及严重性度量) 将复杂的系统配置核查工作自动化
SCAP 是当前美国比较成熟的一套信息安全评估标准体系, 其标准化、自动化的思想对 信息安全行业产生了深远的影响。
(6).NVD(National Vulnerability Database)
美国政府的漏洞管理标准数据 完全基于 SCAP 框架 实现自动化漏洞管理、安全测量、合规要求 包含以下库
- 安全检查列表 软件安全漏洞 配置错误 产品名称 影响度量
https://nvd.nist.gov/
4. 漏洞管理
周期性扫描跟踪漏洞
高危漏洞优先处理
扫描注意事项
漏洞管理三要素 准确性
时间 资源
【安全牛学习笔记】漏洞概念
来源: http://www.bubuko.com/infodetail-2166916.html