如何搭建漏洞管理库 定期对网站进行渗透测试服务



       漏洞管理一直是安全团队工作中的一个难题。漏洞来源众多,层出不穷,占用了网络安全团

队大量的时间和精力进行检测、调查、通知、整改和复试。一不小心就会被一个洞刺穿,很难防

止,给人一种绝望的感觉。如何实现漏洞检测、通知、修复和重测的全周期闭环管理是我们一直

在探索的答案。
 
 
下面简单介绍一下我们在建立漏洞管理系统过程中积累的经验或者我们所踩过的坑:1.漏洞检测

:定期扫描主机和网络漏洞是必不可少的。在此基础上,我们增加了以下类型的检测工作:产品对

端口和服务进行细粒度的扫描,还增加了对Github、暗网等数据泄露的监控。互联网公测:自动

扫描的缺点是检测深度或逻辑漏洞能力差,需要引入人工检测能力。公共测试平台上有大量具

有漏洞检测能力的一流人才,可以弥补我们在漏洞发现方面人力不足、技术水平低下的不足。
 
 
内网渗透测试服务:以上是针对互联网端的漏洞检测。在内网漏洞检测方面,我们还增加了内网

渗透测试服务,试图发现网络架构的不合理性,同时可以整理日常应用系统的漏洞。长周期资

产多次扫描:如果资产分散、数量大,必须引入分布式扫描系统。为了加快扫描进度,需要先

检测主机或应用的存活情况。扫描结果应形成资产信息并存储在资产库中,然后根据资产库对

主机和端口服务进行漏洞检测。
 
2.漏洞研究与判断:之前经常是一发现就举报,最后还是被打死了。第一,漏洞的实际影响可能

不大,但是修复难度大,耗时长,导致很多时间跟进却漏洞来不及修复。相反,那些好用又有

害的漏洞没有得到及时处理;二是漏洞通知后,研发不清楚如何修复。没有可供参考的知识库

,导致一无所获;第三,某一类组件的漏洞总是频繁出现,升级后的组件研发枯竭。对此,我

们的回应如下:漏洞优先级评估:通常是根据漏洞的网络位置和危害程度,确定首先要修复的漏

洞列表。比如我们优先考虑互联网端的漏洞,即使是低级别的漏洞也必须快速处理。要求在从

发现到通知的一天内完成处理,还需要在此期间进行监控,以防止漏洞被利用。此外,对于内

部网络漏洞,要求首先修复RCE\EXP以上的高风险漏洞。高德纳提出了基于风险的漏洞管理

的思想。在Tenable产品中使用预测优先级分析、漏洞优先级评级(VPR)和漏洞智能(VIR)的概

念来评估漏洞优先级是一个好主意,而不是使用CVSS。
 
 
漏洞知识库的补充:安全团队在上报漏洞之前,应补充必要的漏洞知识,包括但不限于漏洞原

理、利用手段、加固方法、修复方法等。我们定期梳理一段时间的漏洞列表,找出优先修复

的列表,然后从网上收集漏洞知识整理成文章,添加到漏洞管理系统和技术社区,链接给研

发。
分享: