漏洞管理流程

最近用了一下公司的安全管理平台，其中有漏洞管理的功能，我归纳了一下，大概是这样的步骤：

漏洞发现——漏洞审核——漏洞定级——派发工单——漏洞修复——修复完成——修复验证——漏洞复盘——结束

1、漏洞发现

目前一般的漏洞发现是第三方安全公司来做漏扫，还有就是外部SRC。当然我们自己也会有入侵检测设备。

2、漏洞审核

目前所有漏洞基本都是靠人工审核的，我觉得这点做得不合理。因为人工审核很慢，我觉得一些有明确的特征和检测标准的就可以通过自动化审核。

为什么要审核呢？主要就是减轻业务开发人员的工作负担。给最需要修复的最高优先级。

3、漏洞定级

有的新同事不知道怎么定级，很多同事之间的定级互相不一致，其实我们可以建立公司自己的漏洞定级标准，然后培训，这样就能解决不一致的问题。

然后，定级不能根据工具来定，要看多个维度综合评估。比如利用难度、业务重要性、影响范围和数据敏感性等。

4、派发工单

这些都完成后，就要派发工单给业务团队去修复漏洞。一般在平台派发完工单后，很久也没有人修复。原因是很多业务人员并不一定想经常上你这个平台看。所以我建议用电话、短信、微信、邮件等多种方式通知。

很多业务人员收到派发出来的工单也会傻眼，怎么修呢？所以，我建议还可以在平台上建立知识库，有比较详细的操作步骤那种，并定期更新。

5、业务修复

业务修复也会拖，尽管高危漏洞平台设置了24小时修复完毕，但实际2周也没修复完毕。这个时候，建议可以辅以人工提醒、开会、支持等方式来督促修复。

修复完后，安全团队进行复测，如果复测不通过，需要将工单退回。

6、漏洞复盘

我们的安管平台没有对漏洞进行复盘，我建议可以归类排名，对频繁出现的漏洞进行分析。然后进行专项的测试，把同类漏洞一起检测一下。最后，对需要提高安全意识的地方再辅以培训支持。

THE END

原文始发于微信公众号（透明魔方）：漏洞管理流程