Vulnerability Management 漏洞管理
发现并修补 漏洞 的过程。注意是过程,不是一次性项目 —— 漏洞每天都有新的,管理就得每天都在做。
五步闭环
- Discover(发现) —— 跑 scanner,订阅 CVE feed,bug bounty
- Prioritize(分级) —— 按 CVSS、资产重要度、是否被在野利用排序
- Remediate(修补) —— 打补丁 / 改配置 / 加 WAF 规则 / 临时下线
- Verify(验证) —— 再扫一次,确认真的修好了
- Monitor(持续监控) —— 新漏洞、新资产,循环回 step 1
少任何一步,整个体系就漏。
优先级怎么排
不是 CVSS 9.8 就最先修。要综合看:
| 维度 | 问题 |
|---|---|
| CVSS 分数 | 理论严重程度多高? |
| 资产价值 | 这台机器跑的是什么?生产数据库 vs 测试机 |
| 暴露面 | 内网 only 还是公网可达? |
| 是否被在野利用 | CISA KEV 列表上有没有? |
| 补丁可得性 | 厂商有 patch 吗?要 workaround 吗? |
公网可达 + KEV 列表上有 = 立刻修。内网测试机 CVSS 9.8 但无 PoC = 排队。
关键原则
- Patch Update 是基本功 —— 大多数被打的漏洞都是公开多年、有补丁的旧漏洞
- 零日不是主要威胁 —— 已知未补的洞才是
- 配合 assessment 做 —— assessment 是阶段性的快照,management 是日常运营