想要漏洞管理“666”，你需要知道这个知识点

关注|工信部《网络安全漏洞管理规定 (征求意见稿) 》

为规范网络安全漏洞（以下简称漏洞）报告和信息发布等行为，保证网络产品、服务、系统的漏洞得到及时修补，提高网络安全防护水平，根据《国家安全法》、《网络安全法》，工业和信息化部会同有关部门起草了《网络安全漏洞管理规定（征求意见稿）》，并在2019年6月，拟以规范性文件形式印发，面向社会公开征求意见。

?

漏洞管理工作是企业安全建设必不可少的一环，在风险管理工作中，漏洞管理能够防患于未然，企业想要在漏洞管理工作中有良好的建树，做好资产管理必不可少。漏洞管理工作中资产的价值不仅仅只是让我们清楚自身脆弱性情况，还有很多我们可以利用的空间。

资产发现及管理

图1 资产识别关系图

首先需要做到的是尽可能的通过各类技术手段对全部资产进行识别和监控，例如主动的扫描探测、云端的情报识别、终端代理、第三方平台对接、被动的流量识别和人工的梳理。未知资产的安全往往是不可控的，做到资产可见是实现全面漏洞管理的第一步。

其次通过对资产信息的全面收集，以资产IP、MAC或URL作为一个基本标识，不断完善资产属性标签：

●??硬件：设备类型、生产厂商、产品型号

●??OS：操作系统类型、版本号

●??应用软件：软件名称、生产厂商、版本号

●??端口服务：服务名称、端口号、协议、Banner

●?资产价值：机密、完整、可用、价值、等保级别

●?登录认证：地址、账号、密码、协议、端口

●?责任人：姓名、联系电话、邮箱

●?资产组：地址区域、组织架构、业务系统

●?自定义标签

以资产为视角的漏洞管理应用

通过对资产的在线离线状态进行持续监控，及时了解当前系统资产活跃情况，通过对资产属性的分布统计便于了解当前资产分布类型，以及对资产漏洞趋势监控了解资产脆弱性情况。

图2 绿盟科技资产态势

2

利用云端威胁情报，快速准确的发现互联网暴露的资产分布情况及安全现状，提高客户对暴露资产的可管可控能力。

① 易被攻陷的高危主机

●?开放高风险服务端口的主机

●?开放多端口的主机

●?开放非常见协议的主机

② 存在恶意行为的主机

●?发起DDoS攻击/利用漏洞对外发起攻击/扫描源/垃圾邮件源/关联了恶意软件/Botnet客户端

③ 值得关注的IP和域名

●?可能存在业务敏感信息泄露

●?非有效业务页面

④ 未知资产发现

●?未知IP资产/未知子域名资产

⑤ 域名是否在工信部ICP备案

3

利用云端情报推送热点漏洞信息，通过资产关联，自动关联具有漏洞的相关资产，手动或自动的下发预警通告给相应资产责任人，减少因漏洞定位工作带来的漏洞响应时间的消耗，提高漏洞应急响应效率。

图3 绿盟科技云端情报关联预警?

4

漏洞扫描无法避免误报问题，而误报问题又往往是限制漏洞管理工作推广的重要因素，如何通过一些技术或者人工手段去修正误报，就成了漏洞管理工作中的繁重工作，要知道大部分的漏洞是通过版本匹配的，所以完全可以利用资产管理中对资产版本信息的精细化，来修正我们因为扫描器获取版本信息错误或者不准确所带来的漏洞误报问题。

5

对资产添加资产责任人，漏洞修复工作以工单方式推送给具体资产责任人，修复过程严格遵照漏洞修复生命管理周期的方式，做好漏洞修复每个阶段的统计、监督及审计工作，通过对资产负责人的漏洞修复考核来推进漏洞修复工作的开展，同时也可以利用责任机制来对漏洞进行管理追责。

6

通过对资产的梳理定位，利用组织架构、地理位置、业务架构等不同资产组分类方式，绑定具体资产负责人员，通过对漏洞修复状态的跟踪、统计、量化分析等，以资产视角为漏洞修复成果进行评分对比，直观的展示当前资产漏洞管理工作的成效，推动漏洞管理积极有效的进行下去。可以通过资产组视角下不同的维度进行对比展示：

●?漏洞修复时间

●?漏洞修复成果占比

●?资产组下的漏洞数量、风险比例、总体风险值

●?漏洞再次发现、修复失败比例