弱点管理基础

弱点管理是一组用于维护组织数字基础设施库、探测其弱点并修复已识别的弱点的过程和产品的组合。它是一种循环实践，是众所周知的IT格言的对立面，即“如果没有坏，就不要修复它”。这个原则在今天的企业安全中简单不起作用。如果数字资产不被持续监控和加固，它们就会变成低垂的果实。

扫描器不够

与 弱点扫描器不同，弱点管理的主要目标是加强基础设施安全并对一些超级危险的威胁做出紧急响应。在系统中找到一个漏洞只是半个战斗，必须修复它，以便威胁者不能利用它作为入口。弱点评估和优先级排序的方法与扫描器一样重要。扫描器不能做到这一点。

弱点管理本质上是对扫描过程的补充，评估、优先级和修复检测到的弱点。客户的需求正在变化，而关键目标不再仅仅是发现弱点，现在更多的是关于解决问题的方法。

至于弱点管理系统使用的许可模式，通常是基于受保护的IP地址数量。无论它们位于哪里或客户需要多少安装，都无关紧要。另一方面，弱点扫描器的成本取决于安装数量和扫描参数，例如主机数量。

此外，还有不同类型的安装，一些供应商提供无限制使用其系统的权限。价格标签也可能受到功能集的影响，其中一些功能作为付费附加功能提供。

选择弱点管理系统的标准

最重要的特征包括组织的规模、其位于不同时区的分支数量以及产品本地化，即检测特定区域和行业特定弱点的能力。

一个有趣的因素是公司的InfoSec和IT部门如何协商解决方案的必要功能。InfoSec专家通常优先考虑弱点检测，而IT团队主要关注补丁部署。因此，这两个领域的重叠将定义系统的参数。

还值得看看更新的完整性和频率，以及扫描器支持的操作系统。理想的弱点管理系统还应适应组织所代表的行业和其当前使用的应用程序的背景。

在签订合同阶段，供应商可能会向客户保证其准备好在未来添加新产品和功能。不幸的是，一些提供商并不总是兑现这样的承诺。因此，最佳方法是专注于解决方案现有的功能。

任何 弱点管理系统的有用功能是能够用第三方来源的信息丰富自己的弱点数据库。解决方案还可以提供一个特定弱点的利用示例，这很好。

大多数客户面临着一个经典的困境：使用免费的扫描器还是从一开始就购买商业解决方案。维护更新的弱点数据库是一个繁琐且昂贵的过程。因此，在免费产品的情况下，开发团队可能需要优先考虑其他领域的活动以追求替代的收入来源，这解释了为什么这些扫描器有一些限制。

弱点管理下的工具

在公司内部组织弱点管理过程所需的解决方案集可能包括：

•       用于收集有关弱点的信息的不同工具，例如扫描器、用于处理第三方来源数据的工具和InfoSec专家独立获得的信息存储库。
•       定义CVSS评分并衡量可能受到缺陷影响的资产价值的弱点优先级工具。
•       用于与外部数据库交互的工具。
•       处理组织、其基础设施和全球攻击面背景下弱点的系统。

资产管理和自动补丁

资产管理过程应该具有最大程度的自动化，涵盖组织的整个基础设施，并定期进行。除非满足这些条件，否则无法优先考虑弱点。另外，无法在不知道其组成的情况下控制组织的IT基础设施。因此，资产管理是弱点管理的一个非常重要的部分。

自动化 补丁管理过程的主要前提是为每个弱点签名分配一个特定的标识符，并确保下一次更新解决它。这是一个复杂的工作流程，具有许多陷阱。跳过单个更新的后果可能是灾难性的，因此补丁部署必须尽可能协调好。

还需要根据特定应用程序领域调整自动补丁。对于工作站，限制更新到操作系统和基本软件（如浏览器和办公应用程序）是可以接受的。在服务器的情况下，事情更加复杂，因为有很多东西处于风险之中，一个有缺陷的更新可能会影响业务关键IT资源的可用性。

在企业基础设施监控方面，大多数公司更喜欢扫描而不是在端点上安装代理，因为它们经常成为 恶意软件入口点。但是，如果以其他方式无法访问主机，则必须使用数据收集应用程序。

如前所述，InfoSec和IT部门之间的无缝交互可以带来不同。两个团队必须就指定谁负责安装某些资源的更新以及如何频繁地进行更新的政策达成一致。基本上，弱点管理过程应该归结为监控这些协议的遵守并安装紧急补丁。

弱点管理系统的未来是什么?

目前，资产监控和补丁部署的自动化程度有明显的趋势。随着企业基础设施继续迁移到 云，弱点扫描过程可能会简化为检查云安全设置。另一个演化方向是改进弱点评估系统。弱点优先级工具将包括更多数据，尤其是关于最“可利用”的弱点。

也有可能这些系统在未来几年内会转向一种全面的逻辑，即单个解决方案将提供完整的InfoSec管理仪表。一个包含弱点管理、资产管理和风险管理功能以及其他保护功能的全面平台的出现是很有可能的。也许，将会有一个用于所有数字基础设施元素的单一弱点管理控制台，从服务器或打印机到专用主机上的容器。