青藤云安全：2022漏洞管理指南（19页）.pdf

1、 400-189-9287 1/QINGTENG 2022 漏洞管理指南 CONTENTS 执行摘要.2 漏洞简介.3 什么是漏洞？.3 漏洞、威胁与风险.3 漏洞的类型.4 漏洞管理.4 漏洞管理的必要性.5 漏洞的标准化建模.5 漏洞管理的流程.7 全生命周期的漏洞管理.10 改善漏洞管理的步骤.11 定期进行渗透测试.11 制定漏洞补丁时间计划表.11 进行细粒度的 IT 资产盘点.12 随时更新网络威胁情报.12 加强网络安全基础设施的管理.12 比快更快，比准更准的漏洞管理方案.13 总结.15 附录：2021 年最常被利用的 TOP15 漏洞.16 2021 年最常被利用的 Top

2、15 漏洞.16 漏洞缓解措施.18 400-189-9287 2/QINGTENG 2022 漏洞管理指南 执行摘要执行摘要 如果要说 2021 年的网络安全形势对今年有什么启示，那就是不要用过去的武器对抗今天的战役。在漏洞管理领域尤为如此。对于很多企业来说，漏洞管理始终是一个让人头痛的难题。在过去的一年里，由于漏洞的原因，发生了两件骇人听闻的安全事件：2021 年伊始，安全行业遇到了前所未有的 Solar Winds 供应链攻击；2021 年结束时，又发现了更令人震惊的Log4Shell 漏洞，影响到数以亿计的设备。除此之外，漏洞的发展还呈现出以下态势：新增漏洞达到有史以来最高数量。新增漏

3、洞达到有史以来最高数量。2021 年公布的新漏洞有 20175 个，比 2020 年的 18341个有所增长，数量再创新高。这是有史以来报告漏洞最多的一年，也是 2018 年以来漏洞数量同比增长最大的一年。这些新增漏洞和历史漏洞累计形成了庞大的漏洞库，让安全和运维团队更难对漏洞进行优先级排序和补救。加密加密劫持和勒索软件导致产生新的恶意软件。劫持和勒索软件导致产生新的恶意软件。过去一年里，恶意软件行业继续涌现出各种各样的恶意软件，特别是加密劫持和勒索软件程序，这让威胁行为者更容易发动攻击并且很容易获得快钱。威胁者利用漏洞的速度加快。威胁者利用漏洞的速度加快。有数据显示，在野漏洞利用的数量增加了

4、 24%，这表明网络犯罪分子现在利用新漏洞的速度加快，留给安全团队在真正发生攻击前检测并处理漏洞的时间更短了。在漏洞数量快速增长，攻击者攻击手段不断更新的情况下，没有一个行业是安全的，甚至我们依赖的能源、水和食物等关键基础设施也受到攻击。根据 Ponemon 研究所与 IBM 发布的2021 数据泄露成本报告显示，2021 年数据泄露的平均成本是 424 万美元。为提高漏洞管理效率，本指南详细阐释了漏洞的概念，介绍了漏洞的标准化建模与全生命周期的漏洞管理，并列出了 2021 年最常被利用的 TOP15 漏洞，以期帮助更多用户更好地处理漏洞问题，减少因漏洞而引发的攻击。400-189-9287

5、3/QINGTENG 2022 漏洞管理指南 漏洞简介漏洞简介 网络犯罪分子可以利用漏洞来实现任何特定目的，因此，组织机构需要识别漏洞，并定期了解漏洞的最新更新情况和预防流程，以提高系统操作的安全性。解决和管理在逐年攀升的漏洞，需要按照严格的要求进行漏洞检测和补救。一些重大漏洞是硬件、程序、网络和软件的漏洞。什么是漏洞？什么是漏洞？原则上，漏洞是指系统或网络中的一个脆弱点，其可能会被网络犯罪分子利用，以获得未经授权的访问，从而造成破坏。漏洞利用之后会发生什么呢，谁也说不准安装恶意软件、窃取敏感数据、利用恶意代码造成损害等等。以下是有关漏洞的几个官方定义：NIST：系统、系统安全程序、内部控制或

6、实施中存在的脆弱点，其可能会被威胁行为者利用或触发。ISO 27005：资产中存在的、可被威胁行为者利用的脆弱点，其中资产是指对组织机构、其业务运营及其连续性有价值的任何东西，包括支持组织使命的信息资源。IETF RFC 4949：系统设计、实施或操作和管理中存在的缺陷或脆弱点，其可能会被利用，违反系统的安全策略。漏洞、威胁与风险漏洞、威胁与风险 在了解了漏洞的定义之后，我们来看一下漏洞与威胁、风险的异同。漏洞漏洞 vs 威胁威胁 漏洞是会破坏组织机构 IT 安全体系的差距或脆弱点，而威胁则是组织机构所面临的风险，包括植入危险的可执行文件、恶意软件攻击、勒索软件攻击等等。威胁潜伏在当今的网络威