漏洞管理是一種主動識別、管理和修復網絡漏洞以提高企業應用程序、軟件和設備安全性的方法，包括識別IT資產中的漏洞、評估風險以及對系統和網絡采取適當的措施。為保護系統和網絡免受安全漏洞和數據盜竊的影響，世界各地的組織都在漏洞管理方面有所投資。為防止利用IT漏洞（如代碼和設計設計缺陷）來危害整個企業網絡的安全性，漏洞管理通常與風險管理和其他安全措施相結合，這已成為當今計算機和網絡安全實踐不可或缺的一部分。
　　漏洞管理的重要性

　　盡管漏洞管理能有效應對許多網絡安全風險，但很多組織往往忽視了漏洞管理流程的實施，大量的數據泄露案例證實了這一點。也因此，組織在毫無意識的狀況下會受到補丁和錯誤配置的影響。

　　漏洞管理旨在調查組織的安全狀況，并在此類漏洞之前被惡意攻擊者發現之前檢測它們。

　　這就是為什么實施漏洞管理計劃對于各種規模的公司都至關重要的原因。強大的漏洞管理利用威脅情報和IT團隊知識對風險進行排名并快速響應安全漏洞。

　　漏洞管理的四個階段

　　創建漏洞管理程序時必須考慮以下幾個步驟。將這些步驟納入管理流程不僅有助于防止漏洞被忽視，還可以正確解決發現的漏洞。

　　一、識別漏洞

　　漏洞掃描程序是標準漏洞管理解決方案的核心，包括四個階段。

　　1.通過發送Ping或TCP/UDP數據包掃描有權訪問網絡的系統；

　　2.識別掃描系統上運行的開放端口和服；

　　3.遠程登錄系統并收集詳細的系統信息；

　　4.將系統信息與已知漏洞進行關聯。

　　漏洞掃描工具可以識別網絡上運行的各種系統，包括便攜式計算機、臺式機、虛擬和物理服務器、數據庫、防火墻、交換機和打印機等。它會使用各種方法來調查這些系統的屬性，例如了解操作系統、開放端口、安裝的軟件、用戶帳戶、文件系統結構和系統配置等信息。這些信息用于將已知漏洞與掃描的系統相關聯。這些信息可以與漏洞掃描工具中包含的常見已知漏洞數據庫對比，以此來簡歷掃描系統與已知漏洞之間的關聯。

　　二、評估

　　在掃描到所有潛在的已知網絡安全漏洞后，下一步就是評估這些漏洞并確定處理優先級。成百上千個漏洞的威脅性并不相同。為了分類，需要進行漏洞評估來確定它們被利用對公司的威脅程度。許多系統可用于優先排序，CommonVulnerabilityScoringSystem（CVSS）是其中最常被引用的一種方法。每次運行掃描發現新的漏洞時都必須重復此優先排序過程，以查找對IT安全最為關鍵的那些漏洞。

　　三、漏洞修復

　　如果驗證漏洞并確定其為風險，下一步就是解決漏洞。漏洞可以通過以下方式來解決：

　　修復：完全修復漏洞或應用補丁以防止被利用。這是組織所追求的理想治療方法。

　　緩解：降低漏洞被利用的可能性和影響。如果無法為已識別的漏洞提供適當的修復或補丁，則可能需要采取此措施。理想情況下，此選項用于允許組織爭取最終修復漏洞所需的時間。

　　漏洞管理解決方案提供了漏洞修復的建議。但值得注意的是，可能存在比推薦方法更為有效的修復法案。

　　四、報告和后續行動

　　在處理完已知漏洞后，就可以開始使用漏洞管理解決方案中的報告工具。安全團隊可以從中了解到每種修復技術大概需要付出多少努力，并允許他們確定未來解決漏洞問題的最有效方式。此時需要采取以下措施：

　　設置補丁工具；

　　安排自動更新；

　　與網絡安全團隊協調；

　　在出現安全問題時設置一個工單系統。

　　這些報告還可以通過展示數據泄露風險的級別以及降低此類風險所采取的行動，來確保符合行業監管機構的合規要求。由于網絡犯罪分子也在不斷進化，因此必須定期進行漏洞管理評估，以減少漏洞數量并確保網絡安全性能處于最新狀態。

　　集成安全性的方法

　　1.應用安全掃描以保護CI/CD管道安全

　　持續集成和持續交付（CI/CD）管道是每個從事軟件開發的現代軟件公司的基礎。結合DevOps實踐，CI/CD管道使公司能夠更快、更高頻地交付軟件。然而，能力越大責任越大。雖然大家都專注于編寫安全應用程序，但許多人忽略了CI/CD管道的安全性。然而，CI/CD配置應該得到密切關注。

　　2.CI/CD安全的重要性

　　CI/CD管道通常需要大量權限才能完成其工作。您還需要處理應用程序和基礎結構機密。任何未經授權訪問CI/CD管道的人幾乎可以無限制地破壞所有基礎架構或部署惡意代碼。因此，保護CI/CD管道應是一項高優先級任務。不幸的是，統計數據顯示，近年來對軟件供應鏈的攻擊顯著增加。

　　3.靜態應用程序安全測試（SAST）

　　靜態應用程序安全測試（SAST）通過評估源代碼中的潛在漏洞來補充SCA。換句話說，SCA可以基于已知漏洞的數據庫來識別第三方代碼中的漏洞。同時，SAST對自定義代碼進行分析，以檢測潛在的安全問題，如不正確的輸入驗證。

　　這樣，通過在CI/CD管道開始時運行SAST以及SCA，您可以獲得源代碼內在風險的第二層保護。

　　4.漏洞掃描

　　漏洞掃描是一個自動化過程，可以有力地確定網絡、應用程序和屏蔽漏洞。漏洞掃描通常由IT部門或第三方安全服務提供商執行。不幸的是，攻擊者也利用這種掃描來尋找進入網絡的入口。

　　掃描涉及檢測和分類網絡、通信設備和計算機系統中的弱點。漏洞掃描可以識別安全漏洞，并預測在威脅或攻擊事件發生時安全措施的有效性。

　　在漏洞診斷服務中，軟件從診斷方的角度進行操作，并診斷要診斷的攻擊目標區域。漏洞掃描程序利用數據庫來對應目標攻擊的詳細信息，該數據庫參考已知缺陷、編碼錯誤、數據包構造異常、默認設置以及攻擊者可能利用的敏感數據的路由。

　　數據庫引用已知缺陷、編碼錯誤、數據包構造中的異常、默認設置以及攻擊者可能利用的敏感數據的路由。

　　5.軟件成分分析

　　軟件成分分析（SCA）是自動化可視化開源軟件（OSS）用于風險管理、安全和許可證合規目的的過程。開源（OS）被各行業的軟件所使用，追蹤組件以保護公司免受問題和開源漏洞的影響的需求呈指數增長。然而，由于大多數軟件生產涉及操作系統，手動跟蹤非常復雜，并且還需要自動化掃描源代碼、二進制文件和依賴項。

　　SCA工具正在成為應用程序安全的重要組成部分，使組織能夠使用代碼掃描來發現OSS證據，創建一個減少早期修復漏洞和許可問題成本的環境，并能夠通過使用自動掃描使查找和解決問題的過程更加輕松。此外，SCA不斷監測安全和漏洞問題，以更好地管理工作負載并提高生產力，使用戶能夠為當前產品及其交付中的新漏洞創建可操作警報。

　　6.動態應用程序安全測試（DAST）

　　DAST解決方案識別應用程序中的潛在輸入字段，并向其發送各種異常和惡意輸入。它可以包括嘗試利用常見漏洞，例如SQL注入命令、跨站點腳本（XSS）漏洞、長輸入字符串以及可能會揭示應用程序中的輸入驗證和內存管理問題的異常輸入。

　　DAST工具根據應用程序對各種輸入的響應來識別應用程序是否包含特定漏洞。例如，如果SQL注入攻擊嘗試未經授權地訪問數據，或者應用程序由于無效或未經授權的輸入而崩潰，則表明存在可利用的漏洞。

　　7.容器安全

　　保護容器的過程是持續不斷的。它必須整合到開發流程中并自動化，以減少手動接觸點并擴展到維護和操作基礎架構。這意味著保護構建管道的容器鏡像和運行時主機、平臺和應用層。將安全性作為持續交付生命周期的一部分實施可以減少業務中不斷增長的攻擊風險和漏洞。

　　容器具有安全優勢，例如出色的應用程序可分離性，但它們也擴展了組織威脅的范圍。在生產環境中部署容器的顯著增加使其成為惡意行為者的有吸引力的目標，并增加了系統的工作負載。此外，一個容器存在漏洞或被攻擊成功，就可能成為整個組織環境的入口點。

　　8.基礎設施安全

　　漏洞掃描是一個復雜的主題，評估漏洞掃描解決方案的組織通常需要認證。基礎架構漏洞掃描是針對基礎設施中的一個或多個目標范圍運行一系列自動檢查以檢測是否存在潛在惡意安全漏洞的過程。目標是指完全限定的域名（FQDN），該域名解析為一個或多個要掃描的IP地址或IP地址范圍。

　　基礎設施漏洞掃描是通過網絡（如互聯網）執行的。掃描在專用掃描中心上運行，并源自該中心。掃描中心運行掃描引擎以連接到掃描的目標以評估漏洞。

　　結論

　　漏洞管理是一種主動識別、管理和緩解網絡漏洞的方法，以提高企業應用程序、軟件和托管在云中的設備的安全性。它包括識別IT資產中的漏洞，評估風險，以及對系統和網絡采取適當的行動。實施漏洞管理計劃對各種規模的公司來說都是必不可少的，因為它利用威脅情報和IT團隊的知識對風險進行排序，并對安全漏洞作出快速反應。漏洞管理計劃包括四個階段：識別漏洞、評估漏洞、修復漏洞以及報告和跟進。集成安全措施，例如保護CI/CD管道、使用漏洞掃描工具以及實施SCA、SAST、DAST等，可以補充漏洞管理程序，以提供強大的安全防線。

　　原文標題|HowToManageVulnerabilitiesinModernCloud-NativeApplications

　　作者|HarshadIthape