目录

漏洞管理如何运作?

漏洞管理流程

制定漏洞管理策略

在做任何其他事情之前先准备好您的政策

清楚地确定漏洞管理计划的目标和范围

考虑行业和地区特定因素以确保合规性

识别并培训所有漏洞管理利益相关者

6 漏洞管理生命周期的步骤

漏洞管理最佳实践

设定可衡量的目标

定期进行漏洞扫描和补丁检查

将漏洞管理解决方案与其他 IT 和安全工具集成

考虑攻击路径

提供支持以填补空白

漏洞管理与漏洞评估

19 最佳漏洞管理工具和软件

底线：漏洞管理

从本质上讲，漏洞管理是一种网络安全团队实践，可识别组织的漏洞并根据风险指标和其他标准对它们进行优先级排序。 对于风险评分较高的漏洞，网络安全团队必须进一步分析所涉及的资产（硬件、软件、应用程序、数据库、端点或其他 IT 资产），以确定纠正漏洞或至少最大限度降低其威胁的最佳行动方案。网络.

许多团队使用专门的软件和工具来帮助他们简化和自动化漏洞管理. 漏洞扫描, 渗透测试, 风险评分, 补丁管理, 漏洞评估工具是企业在漏洞管理生命周期的每个步骤中采用的所有技术。 在许多情况下，这些企业决定通过选择全面的漏洞管理平台来支持他们的工作，以减少 IT 工具的蔓延.

请参阅 顶级漏洞管理工具

在整个漏洞管理过程中，无论您是否使用支持性漏洞管理工具，都会实施漏洞管理框架或政策来指导网络安全专业人员和其他相关利益相关者.

漏洞管理不是一次性的网络审核或清理会话； 这是一个持续的过程，安全团队必须努力致力于并随着时间的推移进行调整，以获得最佳结果。 漏洞管理框架应持续更新，以跟上公司不断变化的攻击面和新出现的外部威胁.

另请阅读: 渗透测试与漏洞测试

漏洞管理涉及规划阶段和操作阶段，安全团队在操作阶段执行该计划.

在有效处理漏洞管理生命周期的其余部分之前，首先了解漏洞管理策略或框架非常重要。 漏洞管理策略是一种规则和参考指南，用于确定安全团队应如何识别和修复安全漏洞。 它提供对最佳实践的支持，并描述任何法律或 监管合规要求 在解决敏感数据集和系统中的漏洞时必须遵循.

制定漏洞管理策略的最佳实践包括以下内容:

首先也是最重要的，在参与进一步的漏洞管理任务之前，您必须创建漏洞管理策略并与所有适当的决策者共享。 如果在安全团队开始解决漏洞问题之前该计划尚未最终确定，您的企业将面临不合规或犯另一个代价高昂的错误的严重风险.

虽然您的公司可能非常希望识别并解决其网络所有部分的所有类型的漏洞，但很可能应该优先考虑某些类型的系统和漏洞。 整个企业的领导者应该在决定漏洞管理计划的目标方面发挥作用。 漏洞管理策略的这一部分对于制定每轮漏洞修复后需要报告的内容特别重要.

如果您在高度监管的行业或世界的某个地区工作，那么您的漏洞管理策略必须说明在评估和修复个人数据等敏感资产中的漏洞时可以做什么和不能做什么，这一点很重要。 特别是对于 HIPAA 等法规，清楚地记录您的合规状况以及为保护患者数据而采取的步骤非常重要.

网络安全专业人员将完成漏洞管理的大量实践工作，但需要在漏洞管理策略中定义其他几个角色和职责，以实现有效的计划。 以下人员需要了解他们在漏洞管理方面的角色和责任:

另请阅读: 最佳管理安全服务提供商

现在您已经制定了漏洞管理策略，您的团队已准备好开始识别和纠正网络安全漏洞。 漏洞管理生命周期分为以下六个步骤。 请记住，这些步骤应定期循环执行，因为攻击面和黑客策略会定期变化:

另请阅读: 补丁管理策略：步骤、好处和免费模板

如果您遵循某些原则和最佳实践，您的漏洞管理计划将有最大的成功机会.

设置目标是创建漏洞管理策略时要采取的首要步骤之一，但至关重要的是，这些目标是您可以实际衡量的目标。 在个人和团队层面，设定可衡量的 KPI，以确保日常工作符合总体目标。 您自己的漏洞管理团队需要考虑的一些 KPI 包括扫描频率和扫描类型要求、发现后的漏洞修复率、平均修复时间 (MTTR) 和补丁持续时间。 针对某些漏洞（例如关键资产上的高严重性漏洞）的服务级别协议 (SLA) 有助于确保不会出现漏洞.

新的漏洞可能会在一夜之间出现或变形。 新补丁会定期发布——对于某些供应商来说，每周都会发布。 如果您不定期扫描资产并研究新的修补机会，那么一旦完成最后一轮漏洞管理生命周期，您的网络安全性就会下降。 如果您的团队难以跟上漏洞扫描和修补的持续步伐，请考虑投资 一个自动化的工具 或以其他方式处理扫描过程.

许多最好的漏洞管理软件解决方案都是作为更大的网络安全套件的一部分而存在的。 即使对于那些不这样做的人来说，其中一些工具也可以很好地与 SIEM 和其他网络安全软件以及 ITSM 和 CI/CD 解决方案。 如果您选择在流程中使用漏洞管理工具，请尽职调查以了解它如何能够更无缝地融入您现有的技术堆栈； 采取此步骤可以简化团队成员的任务，甚至可以通过减少使用的工具数量来节省资金.

由于漏洞的数量几乎总是多于实际可以修复的数量，因此企业必须创建客观的优先级规则来量化漏洞的严重性和资产的关键性。 然而，这些优先级模式也可以被利用。 例如，不良行为者会利用 CVE 评级为 5 或 6 的漏洞，因为他们知道许多组织会忽略这些漏洞。 最好的方法是向整个行业的专家了解他们对不同漏洞的看法、威胁行为者如何使用这些漏洞、它们被利用的容易程度以及它们提供了多少对敏感资源的访问权限。 此类数据应与 CVE 评级一起考虑.

较大的公司可能内部拥有所需的所有安全管理资源，但对于普通公司来说，很难找到、雇用和保留足够的专家人员来管理漏洞以及执行许多其他关键 IT 任务。 如果您的团队难以跟上您的漏洞管理计划或首先制定一个计划，请考虑将此工作外包给专门从事漏洞和风险管理的 MSSP.

这 漏洞评估 只是整个漏洞管理流程的一个组成部分。 这是漏洞管理生命周期的早期步骤，用于记录特定漏洞及其属性，例如位置、大小以及与其他已知供应商漏洞的相似性.

漏洞评估通常是一次性的、具体的漏洞问题记录，随后是风险评分、优先级排序和修复——漏洞管理生命周期中的所有步骤。 漏洞管理是用于管理消除安全漏洞的所有这些步骤的总体框架.

漏洞管理工具的范围从单一用例解决方案到整体平台再到托管服务。 我们在下面列出了一些最佳的漏洞管理解决方案，简要说明了每个解决方案擅长的漏洞管理领域:

有关每种解决方案提供的更多信息，请阅读我们的深入买家指南 顶级漏洞管理工具 和 漏洞管理即服务 (VMaaS).

无论您运营的是大型医疗保健网络还是本地数字营销机构，每个企业都需要管理需要保护的关键资产和信息。 漏洞管理是满足所有这些需求的一项出色的网络安全策略，因为漏洞管理策略、评估、框架和软件可以调整大小以满足特定的组织要求.

尽管采用最全面的漏洞管理软件或聘请顶级托管安全服务提供商可能很诱人，但更重要的是找到符合您企业数据和系统安全要求的解决方案。 根据您组织的规模、内部安全专业知识、预算和行业合规性要求，专门支持您独特网络需求的鲜为人知的工具或服务提供商可能是最佳解决方案。 与网络安全领域的任何事情一样，刚刚开始就是向前迈出的一大步.