漏洞管理
识别、分类、优先处理、补救和缓解软件漏洞的递推做法
漏洞管理是针对电脑漏洞所进行“周期性的识别漏洞、进行分类、决定优先级、进行补救措施及缓解措施”的流程[1]。漏洞管理是电脑安全及网路安全的重点内容,和针对一般系统的漏洞评估不同[2]。
发现漏洞的方式很多,漏洞扫描器可以分析电脑系统,寻找已知的漏洞[3],像是open port、不安全的软体组态、可能被恶意软体入侵的系统。也可以用比对公开来源(例如NVD),或是订阅商业版的漏洞警告服务来找出漏洞。模糊测试(fuzz testing)可以用来寻找未知的漏洞(例如零日攻击)[3],也可以用相关的测试用例找出特定的漏洞(例如缓冲区溢出),这类分析也可以用自动化测试来进行。此外,有启发式演算法的防毒软体,根据可疑的软体行为(例如覆写系统文件)来找未公开的恶意软体。
专案漏洞管理
编辑专案漏洞管理是指专案容易受到负面事件影响的特性,对其影响的分析,以及专案可以克服负面事件的能力[4]。按照Systems Thinking的观点,专案漏洞管理会用全面性的观点,进行以下的流程:
- 专案漏洞识别。
- 漏洞分析。
- 漏洞响应计划。
- 漏洞控制:包括对策实施、监控、控管以及经验传承。
在此模型下,透过以下的层面来克服负面事件
- 抵抗(resistance):静态层面,是指可以承受立即损害的能力。
- 韧性(resilience):动态层面,是指可以在一段时间后恢复的能力。
系统冗余是在漏洞管理上,可以提升抵抗及韧性的特殊作法[5]。
反脆弱(Antifragility)是纳西姆·尼可拉斯·塔雷伯提出的概念,叙述系统不但可以抵抗负面事件,或是具有恢复的韧性,而且系统可以因为负面事件而进步。反脆弱类似Stefan Morcov所提出专案复杂度中的积极复杂性(positive complexity)。
相关条目
编辑参考资料
编辑- ^ Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5
- ^ Walkowski, Michał; Oko, Jacek; Sujecki, Sławomir. Vulnerability Management Models Using a Common Vulnerability Scoring System. Applied Sciences. 19 September 2021, 11 (18): 8735. doi:10.3390/app11188735 .
- ^ 3.0 3.1 Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 [1] (页面存档备份,存于互联网档案馆).
- ^ Marle, Franck; Vidal, Ludovic‐Alexandre. Managing Complex, High Risk Projects - A Guide to Basic and Advanced Project Management. London: Springer-Verlag. 2016.
- ^ Nassim N. Taleb, Daniel G. Goldstein. The Six Mistakes Executives Make in Risk Management. Harvard Business Review. 2009-10-01 [2021-12-13]. ISSN 0017-8012. (原始内容存档于2023-07-21).
外部链接
编辑- "Implementing a Vulnerability Management Process" (页面存档备份,存于互联网档案馆). SANS Institute.