如何进行脆弱性评估：2021的基本指南

黑客们一直在扫描互联网上的弱点，如果你不想让你的组织成为受害者，你需要首先找到这些弱点。换句话说，你必须采取积极主动的方法来管理你的漏洞，实现这一点的关键第一步是进行漏洞评估。

阅读本指南，了解如何在组织中执行漏洞评估并领先于黑客。

脆弱性评估工具

漏洞评估是由扫描仪执行的自动化过程。这使得他们能够被广泛的观众所接受。许多扫描仪面向网络安全专家，但在没有专门安全团队的组织中，也有为IT经理和开发人员量身定制的解决方案。

漏洞扫描器有多种类型：一些擅长网络扫描，另一些擅长网络应用、物联网设备或容器安全。如果你是一家小型企业，你很可能会发现一个漏洞扫描器覆盖了你的全部或大部分系统。然而，拥有复杂网络的大型公司可能更愿意将多个扫描仪组合在一起，以达到所需的安全级别。

如何进行漏洞评估？

有了正确的工具，您可以通过以下步骤执行漏洞评估：

1.资产发现

首先，你需要决定要扫描什么，这并不总是像听起来那么简单。组织面临的最常见的网络安全挑战之一是缺乏对其数字基础设施及其连接设备的可见性。原因包括：

• 移动设备：智能手机、笔记本电脑和类似设备设计用于频繁断开和重新连接办公室、员工家以及其他远程位置。
• 物联网设备：物联网设备是企业基础设施的一部分，但可能主要连接到移动网络。
• 基于云的基础设施：云服务提供商可以轻松地根据需要启动新服务器，而无需it参与。

我们都希望在一个组织完善的组织中工作，但现实往往更混乱。很难简单地跟踪不同团队在任何给定点上发布或更改的内容。这种缺乏可见性是有问题的，因为很难确保你看不到的东西。幸运的是，这个过程的发现方面可以在很大程度上实现自动化。

例如，一些现代漏洞评估工具（如入侵者）可以在面向公众的系统上执行发现，并直接连接到云提供商，以识别基于云的基础设施。

显示已发现系统的入侵者网络页面截图

 

2. 优先顺序

一旦你知道你拥有什么，下一个问题是你是否负担得起对所有这些进行脆弱性评估。在一个完美的世界中，您将定期在所有系统上运行漏洞评估。然而，供应商通常按资产收费，因此在预算无法涵盖公司拥有的每项资产的情况下，优先顺序可以有所帮助。

您可能希望优先考虑的一些示例包括：

• 面向Internet的服务器
• 面向客户的应用程序
• 包含敏感信息的数据库

值得注意的是，无目标或大规模攻击最常见的两个向量是：

1. 面向互联网的系统
2. 员工笔记本电脑（通过网络钓鱼攻击）

所以，如果你买不起别的东西，至少试着按同样的顺序投保。

3.漏洞扫描

漏洞扫描程序旨在识别已知的安全漏洞，并提供如何修复这些漏洞的指导。因为这些漏洞通常是公开报告的，所以有很多关于易受攻击软件的信息。

漏洞扫描程序使用这些信息来识别组织基础设施中易受攻击的设备和软件。扫描仪最初将探头发送至系统，以识别：

• 开放港口及；运行服务
• 软件版本
• 配置设置

根据这些信息，扫描仪通常可以识别被测试系统中的许多已知漏洞。

此外，扫描器会发送特定的探测来识别单个漏洞，只有通过发送一个证明存在漏洞的安全漏洞来测试这些漏洞。

这些类型的探测可能会识别常见漏洞，如“命令注入”或“跨站点脚本（XSS）”或系统默认用户名和密码的使用。

根据您正在扫描的基础设施（尤其是任何网站的扩展程度），漏洞扫描可能需要几分钟到几个小时的时间。

4.结果分析与评估；补救措施

漏洞扫描完成后，扫描仪会提供评估报告。当阅读和发展基于本报告的补救计划时，你应该考虑以下内容：

• 严重程度：漏洞扫描程序应根据其严重性标记潜在漏洞。在规划补救措施时，首先关注最严重的漏洞，但避免永远忽略其他漏洞。黑客利用几个轻微的漏洞进行攻击并不罕见。一个好的漏洞扫描器会建议何时修复每个问题。
• 脆弱性暴露：记住上面的优先顺序-并非所有漏洞都存在于面向公众的系统上。任何扫描互联网的随机攻击者都更有可能利用面向互联网的系统进行攻击，从而使其成为更高的补救优先级。在那之后，你会想优先考虑任何安装了易受攻击软件的员工笔记本电脑。此外，任何承载特别敏感数据或可能对您的业务产生不利影响的系统都可能需要优先考虑其他系统。

在大多数情况下，有一个公开发布的补丁来纠正检测到的漏洞，但它通常也需要更改配置或其他解决方法。应用修复程序后，重新扫描系统以确保正确应用修复程序也是一个好主意。

如果不是这样，系统可能仍然容易受到攻击。此外，如果补丁引入了任何新的安全问题，例如安全错误配置（尽管很少见），此扫描可能会发现它们，并允许它们得到纠正。

入侵者使用一种独特的算法来优先处理让你的系统暴露在外的问题，从而特别容易找到风险最高的问题。

 

5.持续的网络安全

漏洞扫描提供组织数字基础设施中存在的漏洞的时间点快照。然而，新的部署、配置更改、新发现的漏洞和其他因素可能会很快使组织再次易受攻击。因此，您必须使漏洞管理成为一个持续的过程，而不是一次性的练习。

由于软件开发时会引入许多漏洞，因此最先进的软件开发公司将自动漏洞评估集成到其持续集成和部署（CI/CD）管道中。

这使他们能够在软件发布之前识别并修复漏洞，避免了被利用的可能性，以及为易受攻击的代码开发和发布补丁的需要。

总结

定期的脆弱性评估对于强大的网络安全态势至关重要。存在的漏洞数量之多，以及普通公司数字基础设施的复杂性，意味着一个组织几乎可以保证至少有一个未修补的漏洞，使其面临风险。

在攻击者之前发现这些漏洞可能意味着攻击失败与代价高昂且令人尴尬的数据泄露或勒索软件感染之间的区别。

脆弱性评估的一大优点是，你可以自己做，甚至可以自动化这个过程。通过使用正确的工具并定期进行漏洞扫描，您可以显著降低网络安全风险。

入侵者脆弱性评估平台

入侵者是一个全自动的漏洞评估工具，旨在检查您的基础设施是否存在超过10000个已知漏洞。它旨在通过主动运行安全扫描、监控网络更改、同步云系统等方式节省您的时间。入侵者生成一份报告，概述问题并提供可采取行动的补救建议–；所以你可以在黑客攻击之前找到并修复你的漏洞。