vulnerabilitymanagement--漏洞管理指南整理.pdfVIP

TechTarget 中国《漏洞管理指南》 1 所有内容版权均归 TechTarget 中国所有，未经许可不得转载。 漏洞管理指南 目 录 应用程序安全漏洞评估方法剖析………………………………………… .3 如何高效使用漏洞管理数据？………………… .……………………… ..10 如何处理网络渗透测试结果？…………………………………………… 14 如何确定你的 Windows 补丁级别？………………………………… ..19 五步评估你的安全状态…………………………………………………… 22 TechTarget 中国《漏洞管理指南》 2 所有内容版权均归 TechTarget 中国所有，未经许可不得转载。 应用程序安全漏洞评估方法剖析 安全管理人员对以下情景一定不会陌生：尽管企业要求安全管理人员保护企业 业务，以防受到应用程序安全漏洞的威胁，但在企业部署的数百个甚至数千个应用 程序中，很少有应用程序进行了充分的安全评估。 面对大量可能不安全的应用程序、有限的评估资源和难以承受的压力，在对企 业的应用程序进行安全评估这一问题上，许多安全管理人员只能疲于应付。随着应 用程序迅速成为最受恶意攻击者青睐的载体，攻击者试图利用应用程序中的漏洞破 坏企业的日常业务活动，或者渗透企业的防御体系以窃取敏感数据。因此，安全管 理人员应该确保对应用程序进行安全评估。 本文将对几种应用程序安全评估技术进行分析，并对应用程序评估的策略范例 进行比较，以进一步阐明企业应用程序安全评估流程。 专业的应用程序安全评估方法 对于不熟悉应用程序安全性的人来说，下面的三种评估方法可能会令他们晕头 转向。不过，每种方法都有其值得称道的地方，适用于不同的评估类型。 ? 运行时漏洞评估（ Runtime Vulnerability Assessment ）——运行时 漏洞评估有三种方式：自动、手动和两者结合。一般来说，与手动评估相 TechTarget 中国《漏洞管理指南》 3 所有内容版权均归 TechTarget 中国所有，未经许可不得转载。 比，自动评估的速度更快，评估的范围更广。但是，自动评估往往会漏掉 不明显的漏洞，也不能发现业务逻辑缺陷。因此，大多数经验丰富的应用 程序安全专家通常倾向于采用自动和手动相结合的方式。 ? 源代码审查（ Source-Code Review ）——利用源代码审查，评估人员 可以发现应用程序中存在的各种漏洞，但该方法要求评估人员具有深厚的 编程语言和安全功底，而且通常需要比运行时漏洞评估更长的时间。与运 行时漏洞评估一样，源代码审查也有自动、手动和两者结合三种方式。这 些方式各有利弊，类似于运行时漏洞评估的三种方式。 ? 威胁建模技术（ Threat-Modeling Technique ）——威胁建模技术主要 是从设计的角度评估相关的、理论性的应用程序威胁。通常情况下，威胁 建模先于源代码审查和运行时漏洞评估进行。 然而，选择适当的评估方法组合并不容易。许多企业都深受这一问题的困扰。 下面我们将介绍几种方法，以帮助企业确定适当的应用程序安全评估流程：