通过分类和优先顺序进行评估

如果更新到受影响软件的最新版本无法修复报告的漏洞或错误配置，或者尚未有更新来解决该问题，则您将需要一个流程来进行分类和确定优先级。

这一原则背后的思考

漏洞评估将突出显示需要注意的任何安全、配置或更新管理问题。为了管理您的攻击面，您应该至少每月对整个资产进行漏洞评估。如果您的组织从未运行过组织范围的漏洞扫描，第一份报告可能会包含数百甚至数千个漏洞。了解您的攻击面（外部暴露与内部暴露）也很重要。

更成熟的组织应该考虑更定期的评估，特别是对于外部可访问的服务。如果您使用云环境中内置的等效工具，则应遵循提供商建议的节奏。

尽管供应商通常有发布更新的节奏，但它们可以随时发布（称为带外更新）。如果发现严重漏洞，则可能会发生这种情况。如果这可能会影响您的组织，那么重要的是要有一个适当的流程，使您可以随时对关注的漏洞进行评估。

区分旨在识别漏洞的漏洞评估系统和用于确定软件版本的软件资产管理非常重要。在某些情况下，一个工具可以执行这两种功能，但情况并非总是如此。有关更多信息，请参阅我们有关漏洞扫描工具和服务的指南。

扫描

定期扫描制度对于让您了解您的组织可能面临的风险至关重要。它不需要由外部合作伙伴运营，员工也不需要任何特殊培训。NCSC对如何选择、实施和使用自动化漏洞扫描工具提供了指导。

漏洞和配置扫描还可能会突出显示无法通过软件更新解决的问题，或者自动更新机制无法正常工作的问题，这意味着需要手动修复。应使用原则 4中概述的流程对这些漏洞进行分类。漏洞扫描对于突出显示未安装更新的情况也特别有用。

漏洞披露

如果您开发软件或运行系统，您还应该考虑建立一个流程，允许安全研究人员向您报告他们发现的任何漏洞。NCSC 漏洞披露工具包 旨在简化披露流程的设置。

对无法或不会立即缓解的漏洞进行分类

有时，安装受影响软件的最新版本可能无法修复报告的漏洞或错误配置，或者甚至可能没有更新来解决该问题。在某些情况下，不进行更新可能是合适的 ：例如，如果系统即将退役，并且漏洞难以发现且难以利用。通过合理的控制，例如确保退役继续进行，不更新是完全合理的。

但更常见的是，由于员工时间等限制或对更新软件兼容性的担忧，组织感觉无法解决问题。充分了解这对您的组织的潜在影响非常重要。

虽然漏洞评估软件或供应商咨询可能会为发现的问题提供严重性评级（例如 通用漏洞评分系统或 CVSS），但您必须考虑组织的业务影响和风险。

选择不更新

有时，组织可能会评估自动更新的风险太高。在这种情况下，系统应添加到“例外列表”中，更新将通过您的组织所需的任何安全测试。由于额外的测试可能需要大量时间，因此应仅限于可用性至关重要且没有安全恢复到已知良好状态的机制的系统。

分诊流程

如果无论出于何种原因都没有可用的更新，您将需要一个流程来对修复进行分类和确定优先级。

您应该整合所有问题并应用相同的分类和优先级流程，以便系统所有者具有充分的可见性来相应地管理问题。

您的分类过程应首先将所有类似的发现结果或需要相同缓解措施的发现结果分组在一起：例如，所有 SSL 问题都成为一个问题。或者，您可以按类别对它们进行分组，例如外部暴露的漏洞。

分组后，应将它们分为三类：要解决的问题、要确认的问题或要调查的问题。

• “修复”适用于您将确保系统默认更新的问题，或者您将实施重新配置或缓解措施的问题。您应该优先考虑漏洞：

? 面向互联网的服务或应用程序

? 如果成功利用，将产生最大的负面影响（例如关键共享基础设施中存在的影响）

在确定优先级和编写列表时，您应该记录问题得到解决的日期。这可能是供应商表示将发布修复的日期，也可能是对何时可以实施配置更改的估计。如果修复是临时供应商解决方法或缓解措施，则应有时间限制并积极跟踪，以便在完整的供应商修复可用并应用后可以将其删除。

• “承认”无论出于何种原因您决定目前不解决的问题。不立即解决漏洞是有正当理由的，应记录这些原因以及计划的审查日期。如果它们带来的风险级别足够高，请将问题记录在风险登记册中。如果将来漏洞被利用，承认问题（而不是解决问题）的理由应该足以证明所做出的决定是合理的。您还应该考虑实施额外的监控，以便在已知漏洞被利用时发出警报。
• “调查”分类无法将其归类为“修复”或“确认”的问题。调查只能用作临时状态。这可能是因为解决问题的成本未知，或者有多种可能的解决方案，需要做更多的工作来确定哪一种最有效。漏洞评估软件并非绝对可靠，并且可能会发生误报。如果怀疑存在此问题，您应该在将其作为问题删除之前进行调查。此类问题的时间表将取决于问题的严重性。