漏洞管理(VM)是全生命周期管理中較難落實(shí)的一項(xiàng)工作��,但它的重要性卻毋庸置疑��。在漏洞管理的過程中���,我們可能會(huì)遇到一些專業(yè)術(shù)語�����,如果沒能提前了解���,將會(huì)給工作帶來不便。接下來武漢佰鈞成就針對漏洞管理領(lǐng)域的一些基礎(chǔ)知識(shí)和術(shù)語進(jìn)行簡單介紹��,幫助大家盡快熟悉這個(gè)領(lǐng)域��。
武漢佰鈞成科普課堂——通用漏洞評分系統(tǒng)
CVSS通用漏洞評分系統(tǒng)���,其旨在評估安全漏洞的嚴(yán)重性,是全球各組織使用的公開標(biāo)準(zhǔn)���。CVE就是其系統(tǒng)中管理這些漏洞�����,給每個(gè)漏洞分配一個(gè)唯一的漏洞標(biāo)記或編號(hào)�。
CVE�����,國際通用漏洞編號(hào),業(yè)界普遍采用的漏洞編號(hào)方法���。每個(gè)編號(hào)都包含一個(gè)已知的網(wǎng)絡(luò)安全漏洞�����。如CVE-2020-15778 OpenSSH命令注入漏洞����,CVE-2019-1367遠(yuǎn)程代碼執(zhí)行漏洞�,CVE-2019-16905XMSS Key 解析整數(shù)溢出漏洞等。
CVE格式比較簡單�����,一般分為CVE-[年份]-[漏洞編號(hào)]�����,編號(hào)長度多為4位or5位數(shù)字���。CVE在當(dāng)前僅由CNA (CVE Numbering Authority)編碼授權(quán)機(jī)構(gòu)進(jìn)行管理�����。
此外��,還有一些基礎(chǔ)知識(shí)和術(shù)語在漏洞管理工作中可能會(huì)用到��,如PSIRT——產(chǎn)品安全與應(yīng)急響應(yīng)團(tuán)隊(duì)����,這是內(nèi)外部產(chǎn)品漏洞的入口,管理公司漏洞庫;SN——安全公告�,在發(fā)現(xiàn)高關(guān)注度的漏洞/事件后,對外快速響應(yīng)的公告說明;SA——安全預(yù)警�����,發(fā)布漏洞的技術(shù)解決方案時(shí)�����,針對產(chǎn)品漏洞發(fā)布的安全預(yù)警;SLO——服務(wù)等級(jí)目標(biāo)�,多為內(nèi)部使用��,很少用于外部承諾�����。
武漢佰鈞成科普課堂——漏洞管理舉例
我們從漏洞研發(fā)者的角度將整個(gè)漏洞申報(bào)環(huán)節(jié)做一個(gè)展開,簡略為如下圖:
以CVE-2019-6198為例���,研發(fā)者在經(jīng)歷過對電腦管家的軟件漏洞挖掘后�,發(fā)現(xiàn)其存在dll劫持漏洞的可能����。在挖掘漏洞后開始對漏洞報(bào)告進(jìn)行詳細(xì)地撰寫,編寫的漏洞報(bào)告將成為與CVE官方和CNA廠商的重要溝通橋梁��,其報(bào)告的越是詳盡����,越是能讓廠商能快速復(fù)現(xiàn)漏洞和驗(yàn)證。(與研發(fā)者溝通和對漏洞驗(yàn)證的組織����,一般為上文提到的廠商PSIRT團(tuán)隊(duì))。一旦廠商完成對漏洞的確認(rèn)���,廠商會(huì)訴求研發(fā)者盡快提供Poc以及編譯文件����,再一輪溝通后��,廠商正式申請CVE并答復(fù)研發(fā)者,廠商內(nèi)部進(jìn)入到產(chǎn)品漏洞管理管道�����。為漏洞公告進(jìn)行部署�����,如下圖所示:
在產(chǎn)品域完成充分評估后��,廠商會(huì)公告其漏洞并對研發(fā)者進(jìn)行致謝����。至此,一個(gè)漏洞從挖掘到廠商公告披露的流程全部完成��。
經(jīng)武漢佰鈞成總結(jié)�����,以上術(shù)語及基礎(chǔ)知識(shí)都是在漏洞管理過程中使用頻率較高的內(nèi)容���,亦會(huì)貫徹漏洞管理的始終。業(yè)界廠商各自的漏洞管理方案雖然不完全相同��,但基本邏輯是一致的,都是依照上述階段出發(fā)�����,根據(jù)自己公司的實(shí)際情況進(jìn)行改善����。了解基本內(nèi)容之后,對適應(yīng)多種漏洞管理體系都大有幫助����。
(新媒體責(zé)編:syhz0808)
京公網(wǎng)安備 11010602130064號(hào)
