帮助组织评估和优先考虑漏洞的指南。

所有现代软件都包含漏洞；需要补丁来修复的软件缺陷，或者需要管理活动来解决的配置问题。

出于这个原因，组织应该有一个漏洞管理流程，使他们能够定期了解其IT资产中存在哪些漏洞。理想情况下，执行人员应该像了解财务状况一样了解其IT资产中的主要漏洞。

本指南可帮助组织：

• 评估漏洞并确定优先级

• 确定哪些补丁最相关

• 确保资金和资源能够发挥最佳效果

关于本指南

本指南侧重于广泛可用的软件和硬件的漏洞管理，其中大部分包括部署补丁和寻找已知的弱配置。利基软件问题的管理包括发现以前未知的问题，并且在很大程度上超出了本文档的范围。

本指南假定：

• 您的组织使用您负责确保安全的技术

• 您有敏感数据需要保护免受基于Internet的攻击

即使您的大部分数据不敏感，漏洞管理也将帮助您保护员工详细信息和声誉。它还将降低您成为后续感染源的可能性。渗透测试应用于验证内部漏洞管理流程的有效性，而不是替代它。

关于漏洞

利用软件中的已知漏洞仍然是安全事件的最大原因。修补——应用来自软件开发商、硬件供应商和供应商的更新以增强功能或提高安全性的过程——是减轻漏洞可以做的最重要的事情之一。

为什么漏洞无法修复？

最安全的做法是在为受影响的系统发布相关补丁后立即修复所有漏洞。但是，有许多现实世界的限制可以解释为什么这是不可能的。主要原因包括：

• 成本——将服务器和工作站升级到新平台的成本很高

• 中断——升级会中断业务，必须从其他IT项目中拿走资源

• 兼容性——专业应用程序可能无法在较新的操作系统上可靠地运行（这里会产生两倍的成本；除了运行它的平台之外，还必须更换应用程序）

• 操作——主要的软件升级本身就有风险，用户工具的工作方式可能不同

此外，大规模升级的前景让企业感到不安，并且可能无法使用适当的技能组合来规划和实施此类工作。升级工作的延迟只会增加任务的规模，使其更昂贵且吸引力更低。

存在大量工具和资源来帮助确定升级和漏洞管理的优先级。

最好从小事做起，取得进步，而不是被任务压得喘不过气来，什么也不做。

NCSC漏洞管理

A.评估漏洞

我们建议组织每月对其整个资产进行漏洞评估。新漏洞一直在报告，许多软件供应商每月发布更新（例如微软每月的“补丁星期二”）。

定期评估制度对于确保您的组织了解存在的风险至关重要。它不需要由外部合作伙伴运行，员工也不需要任何特殊培训。

自动化漏洞评估系统

虽然可以使用软件资产管理套件收集软件补丁状态，但您应该使用自动漏洞评估系统(VAS)来识别组织IT资产中的漏洞。除了已安装的软件之外，软件资产管理套件并不总是检查易受攻击的软件库，也不检查错误配置。

VAS对目标系统执行操作（例如通过连接到网络服务来收集横幅），然后根据已知漏洞的签名（例如已知存在漏洞的网络服务报告的版本号）评估返回的数据。

使用VAS时，您应该：

• 从外部角度（例如，从Internet）和内部角度评估您的系统——假设您的系统设计区分这两个位置。

• 监控用于运行漏洞评估扫描的帐户是否有任何异常活动。如果未执行评估，请考虑禁用帐户或更改与其关联的凭据。

• 除了对已知系统进行有针对性的扫描外，还对您的网络进行扫描，目的是发现潜在的未知或未经授权的设备。

• 请注意，VAS可能会导致意外结果，甚至包括数据损坏。这种结果在相对现代的系统（自2010年以来开发的系统）上不太可能出现，但您可能希望在上线之前针对关键系统的非生产副本测试您的VAS。

• 使用执行主机评估所需的凭据运行VAS，而不仅仅是未经身份验证的扫描。一些VAS使用主机代理，而其他VAS使用特权凭据来验证和查询设备的状态。这两个选项之间的选择是您的组织更容易集成到您的系统中的问题。用于执行漏洞评估的特权凭据用于连接整个庄园的大量系统，并且存在被已经破坏庄园内系统的攻击者获取凭据的风险。

B.分类漏洞

我们建议您组建一个“漏洞分类小组”，由具备网络安全风险、业务风险和IT资产管理知识的员工组成。一旦执行了漏洞评估，该小组应该开会，以便对发现的所有漏洞进行分类。

漏洞评估软件通常会为问题分配严重等级；这种严重性应被视为流程的一部分，但由于它没有考虑任何业务风险或缓解情况，因此不应将其视为黄金标准。

分类小组必须花时间根据所有可用信息评估问题。请注意，第一次在系统上执行此操作时，可能需要评估大量问题。抵制忽略所有未标记为“严重”或“高”的问题的诱惑。

通用漏洞评分系统(CVSS)为漏洞分配数字分数，并尝试协助漏洞分类过程。如果使用得当，它可能是一个有用的工具，但分类小组必须确保他们：

• 不要选择任意分数，高于该分数必须修复漏洞，忽略低于该级别的所有问题

• 不要在不考虑组织特定缓解或优先级的情况下获取原始CVSS分数

您的分类流程应将所有已识别的问题分为三类：Fix、Acknowledge和Investigate。

• 修复问题是那些将实施补丁、重新配置或缓解的问题。这些修复应该被优先考虑，并给出修复的日期。

• 确认问题是指无论出于何种原因，您目前决定不解决的问题。有正当理由不立即解决漏洞，应记录它们，以及确认它的理由和给出的审查日期。如果它们存在的风险水平足够高，请将问题记录在风险登记册中。承认一个问题而不是修复它的理由应该足以证明如果该漏洞在未来被利用时做出的决定是合理的。

• 调查问题应仅用作分类小组无法将其归类为“修复”或“确认”的临时状态。这可能是因为解决问题的成本未知，或者有许多可能的解决方案，需要更多的工作来确定哪个最有效。漏洞评估软件并非万无一失，并且可能会出现误报。如果怀疑有此问题，则应在消除问题之前进行调查。此类别中问题的时间表将取决于问题的可能严重程度。

解决或保留问题的决定从根本上说是一项业务决策，每个组织都有自己的风险偏好。

C.优先考虑漏洞修复

您应该通过专注于以下问题来确定漏洞的优先级：

• 最大数量的潜在攻击者可以访问

• 如果被利用将产生最大的影响

潜在攻击者的数量取决于漏洞的可访问性（例如，它可以从Internet访问，还是只能从安全网络中访问？）以及利用的复杂性。如果存在公开可用的漏洞利用，那么可能的攻击者数量比已知漏洞但攻击者必须开发自己的漏洞利用代码时要大得多。

利用的影响包括技术影响和业务影响。例如：

• 技术影响——一个可能允许拒绝服务的问题通常被认为比一个可以让攻击者能够在目标系统上运行他们自己的软件的问题的影响更小

• 业务影响——支付处理系统中的漏洞高于会议室预订系统中的漏洞

下面给出了一组用于决定应该解决哪些问题的示例指南。

第1步：确定您需要解决的问题

优先级1：修复可在Internet上自动利用而无需用户（或攻击者）交互的Internet服务和现成的Web应用程序。

1.保护可从Internet直接访问且存在已知、可利用的严重漏洞的任何服务。漏洞扫描程序可以过滤那些已知漏洞并且“高”或“严重”（就其潜在负面影响而言）的漏洞。

2.包括任何现成的Web应用程序；它们包含已知的漏洞，它们极易受到利用，包括非目标自动利用。

优先级2：修复无需用户（或攻击者）交互即可在Internet上利用的定制/小众Web应用程序。

1.安全的定制Web应用程序（即任何在网站上运行代码但不是从供应商处购买或不是来自主要开源项目的代码）。此类Web应用程序越来越容易受到攻击。

2.首先，优先考虑可从您的环境外部访问的任何服务器。

优先级3：修复可在Internet上以最少的用户交互利用的问题（工作站漏洞、路过式下载、基于电子邮件的攻击）。

1.保护用户工作站免受路过式下载和基于电子邮件的攻击。保护Web浏览器和常见用户应用程序的安全在这里至关重要。

2.尽管较新的应用程序不支持较旧版本的Windows，但您不必立即升级操作系统。您最终将需要升级。

优先级4：修复可通过Internet对用户进行社会工程（从Web下载或通过电子邮件发送的恶意应用程序）利用的问题。这些攻击需要您的用户参与其中——例如通过下载受感染的文件或单击网络钓鱼电子邮件中的链接或附件——因此您需要相应地保护您的系统。

1.使用WindowsXP上的软件限制策略或Vista和更新的Windows版本上的AppLocker建立一个简单的应用程序拒绝列表。这将阻止用户轻松运行他们下载或通过电子邮件发送的程序（无论是有意还是错误地）。

2.在Windows XP中，阻止用户从C:Documents and Settings运行的所有应用程序以及其中包含的所有文件夹。

3.对于 Windows Vista 及更高版本，阻止用户从 C:Users运行的所有应用程序以及其中包含的所有文件夹。

第2步：决定您可以修复的问题

您可能会发现更多可以解决的问题。决定你有能力修复什么是高层的决定。这不是IT问题。这是一个商业风险。

优先决策需要结合以下因素：

• 上面的优先级列表

• 直接成本

• 给员工带来不便的成本

• 短期修复的可用性和成本

• 技能资源的成本和可用性

• 事件响应和恢复的成本（包括任何罚款）

• 名誉受损

记录做出决定的原因。对于决定不解决问题但承认问题的任何问题，需要制定一个审查该决定的时间框架。不解决问题的决定应该在足够高的级别做出，以便做出决定的人能够在未来利用漏洞时为其辩护。

1. 
   

2. >>>等级保护<<<
3. 开启等级保护之路：GB 17859网络安全等级保护上位标准
4. 网络安全等级保护：等级保护测评过程及各方责任
5. 网络安全等级保护：政务计算机终端核心配置规范思维导图
6. 网络安全等级保护：什么是等级保护？
   
7. 网络安全等级保护：信息技术服务过程一般要求
8. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
9. 闲话等级保护：什么是网络安全等级保护工作的内涵？
10. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
11. 闲话等级保护：测评师能力要求思维导图
    
12. 闲话等级保护：应急响应计划规范思维导图
    
13. 闲话等级保护：浅谈应急响应与保障
    
14. 闲话等级保护：如何做好网络总体安全规划
    
15. 闲话等级保护：如何做好网络安全设计与实施
    
16. 闲话等级保护：要做好网络安全运行与维护
    
17. 闲话等级保护：人员离岗管理的参考实践
18. 信息安全服务与信息系统生命周期的对应关系
19. >>>工控安全<<<
20. 工业控制系统安全：信息安全防护指南
21. 工业控制系统安全：工控系统信息安全分级规范思维导图
22. 工业控制系统安全：DCS防护要求思维导图
23. 工业控制系统安全：DCS管理要求思维导图
24. 工业控制系统安全：DCS评估指南思维导图
25. 工业控制安全：工业控制系统风险评估实施指南思维导图
26. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
27. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
28. >>>数据安全<<<

29. 数据安全风险评估清单

30. 成功执行数据安全风险评估的3个步骤

31. 美国关键信息基础设施数据泄露的成本

32. VMware 发布9.8分高危漏洞补丁

33. 备份：网络和数据安全的最后一道防线

34. 数据安全：数据安全能力成熟度模型

35. 数据安全知识：什么是数据保护以及数据保护为何重要？

36. 信息安全技术：健康医疗数据安全指南思维导图

37. >>>供应链安全<<<

38. 美国政府为客户发布软件供应链安全指南
    

39. OpenSSF 采用微软内置的供应链安全框架
    

40. 供应链安全指南：了解组织为何应关注供应链网络安全
    

41. 供应链安全指南：确定组织中的关键参与者和评估风险
    

42. 供应链安全指南：了解关心的内容并确定其优先级

43. 供应链安全指南：为方法创建关键组件

44. 供应链安全指南：将方法整合到现有供应商合同中

45. 供应链安全指南：将方法应用于新的供应商关系

46. 供应链安全指南：建立基础，持续改进。
47. 思维导图：ICT供应链安全风险管理指南思维导图

原文始发于微信公众号（祺印说信安）：一起看看英国NCSC漏洞指南