什么是漏洞管理

漏洞（应用程序代码中可利用的弱点）用于促进可能导致数据盗窃、 恶意软件注入 和服务器接管等后果的攻击。

漏洞管理是在这些漏洞被滥用之前根除并消除它们的过程。通常通过以下方法来实现：

• 漏洞扫描 – 通过定期渗透测试和代码审查来尝试清理代码环境 ，通常在应用程序更新后执行。
• 补丁管理 – 针对应用程序使用的第三方软件中新发现的漏洞（例如，零日漏洞）部署供应商提供的补丁。
• 输入验证/清理 – 通过Web 应用程序防火墙(WAF)对传入流量进行过滤和验证  。这可以在攻击利用漏洞之前阻止攻击，并且可以替代完全清理应用程序代码。

漏洞扫描器的局限性

漏洞扫描涉及使用基于软件或硬件的扫描器来定位代码中可被已知攻击向量利用的软点。软点通常是未经净化的代码允许非法输入造成的。

扫描包括定期笔测试和代码审查，以发现应用程序中的弱点，然后更新代码以消除漏洞。随后重新扫描代码以确保漏洞已被清除。此代码审查和修改周期应在代码更新后以及发现可能危及您的应用程序的新攻击向量时进行。

总的来说，漏洞扫描会带来一些操作问题。其一，新的漏洞不断出现，使得扫描成为一个频繁且占用资源的过程。此外，很少实现完整的代码清理，因为主体代码通常处于持续变化的状态。这是基于不可能预测所有攻击场景的事实。

最后，漏洞扫描无法帮助快速响应新发现的（零日）威胁。这一点至关重要，因为大多数漏洞利用都是在新漏洞公开后不久发生的。对此类威胁的响应时间成为任何漏洞管理策略的关键组成部分，而这一问题无法通过延长代码审查和清理周期来解决。

补丁管理

修补新发现的漏洞依赖于第三方（通常是软件的创建者）为其软件开发和测试补丁。您的安全和DevOps 团队负责部署补丁。

与漏洞扫描类似，补丁管理的致命弱点是缺乏响应能力。

通常，修补延迟的原因如下：

• 新威胁通知到达您的安全团队所需的时间
• 您的软件创建者开发和测试新补丁的能力
• 您的安全团队需要多长时间来应用补丁并测试其实施

因此，完全修补漏洞可能需要数天、数周，有时甚至更长时间，尤其是在担心补丁可能影响应用程序核心功能的情况下。

根据经验，修补过程花费的时间越长，漏洞被利用的可能性就越大。通常，当部署补丁时已经为时已晚。虽然修补始终被认为是最佳实践，但这就是为什么它永远不应该成为任何漏洞管理策略的唯一/主要组成部分。

输入验证/清理

输入验证/清理是在网络边缘部署Web应用程序防火墙(WAF)的过程。在这里，它能够检查应用程序的所有传入流量，过滤掉针对安全漏洞的恶意输入。

输入验证有效解决了漏洞扫描和补丁管理问题，原因如下：

• 不需要代码更新 
  扫描和修补过程都是无效的，因为它们依赖于代码更新，这会给时间敏感的过程带来延迟。但是，通过输入验证，您可以轻松更新 WAF 安全策略，而无需调整应用程序代码。这极大地简化了流程，让您可以在数小时内响应新漏洞，而不是数天或数周。此外，修改 WAF 级别的安全策略意味着您不需要可能会抑制应用程序功能的代码更新。
• 它由安全专家团队运营。 
  某些 WAF 提供商（例如 LvBug）以托管服务的形式向您提供解决方案。这意味着 WAF 得到了全天候专业安全专家团队的支持，这些专家致力于主动研究，以使服务免受新威胁。作为订户，他们的努力使您不必密切监视安全更新，同时提供内部安全研究的好处 – 所有这些都无需您自己承担保​​留此类专用服务的成本。
• 可定制的安全规则 
  大多数 WAF 中的默认安全规则都可以定制，以解决特定的漏洞。您的内部安全专家可以使用它们在默认安全规则之上应用其他策略。使用 自定义安全策略 可以让您灵活地解决应用程序特有的特定安全场景，而无需进行任何代码更改。这使得该过程更加灵活并且劳动力密集度更低。
• 虚拟补丁管理 
  虚拟补丁是在 WAF 级别部署补丁的过程，然后将其应用于受服务保护的每个应用程序。虽然不能替代修补软件漏洞，但它是一种早期响应系统，可以有效减轻直接威胁。这使您的团队有时间在过渡期间测试和实施供应商提供的补丁，而不必担心犯罪者利用已暴露的漏洞。