了解报告内容

报告包含大量信息。重要的是,仔细研究它们以更好地理解它们,以便它们可以帮助您做出更明智的安全性决策。

报告中的数据是时间上的静态快照。Web界面中显示的数据随每次扫描而变化。两者之间的差异,例如发现的资产或漏洞的数量,很可能归因于自上次报告以来环境的变化。

对于组织中需要新数据但无权访问Web界面的利益相关者,请更频繁地运行报告。或使用报告计划功能自动将报告计划与扫描计划同步。

在不断变化的环境中,“基线比较”报告非常有用。

如果您的报告数据与预期的数据有很大不同,请考虑可能使数据歪斜的几个因素。

扫描设置可能会影响报告数据

扫描设置以多种方式影响报告数据:

  • 缺乏凭据:如果报告中缺少某些信息,例如发现的文件,蜘蛛网的网站或策略评估,请检查是否为扫描配置了正确的登录信息。如果无法像普通用户一样登录到目标系统,则该应用程序无法执行许多检查。
  • 未启用策略检查:策略设置可能未出现在报告中的另一个原因是未在扫描模板中启用策略检查。
  • 仅发现模板:如果报表中没有漏洞数据,请检查是否使用仅发现扫描模板执行了扫描,该模板不检查漏洞。
  • 某些漏洞检查已启用或已禁用:如果报告显示的漏洞比预期的要多,请检查扫描模板以查看已启用或禁用哪些检查。
  • 未启用不安全检查:如果报告显示表明由于拒绝服务(DOS)设置而跳过了检查,就像CSV报告中的sd结果代码一样,则未在扫描模板中启用不安全检查。
  • 手动扫描:在异常情况下对站点执行的手动扫描会影响报告。例如,仅包含最近扫描数据的自动计划的报告与具有自动计划的扫描的特定多资产站点相关。用户对单个资产进行手动扫描以验证补丁程序更新。该报告可能包含该扫描数据,仅显示一项资产,因为它来自最新扫描。

不同的报告格式会影响报告数据

如果要使用多种格式发布报告,请记住,不同的格式不仅会影响数据的显示方式,还会影响数据的显示方式。PDF和HTML等人类可读格式旨在显示由文档报告模板组织的数据。这些模板对要包含的数据更具“选择性”。另一方面,XML导出,XML导出2.0,CSV和导出模板实际上包括了扫描中所有可能的数据。

了解如何根据确定性来表征漏洞

修复已确认的漏洞是安全的高度优先事项,因此在报表中查找已确认的漏洞非常重要。但是,不要被潜在或未确认的漏洞列表所吸引。并且不要将这些视为误报。

如果应用程序发现可能导致该漏洞存在的某些条件,它将标记该漏洞。如果由于某种原因不能完全验证漏洞存在,它将列出该漏洞为潜在漏洞或未确认。或者它可能表明扫描的操作系统或应用程序的版本容易受到攻击。

漏洞是“潜在”漏洞或未经其他官方确认的事实不会减少该漏洞存在或某些相关安全问题需要您引起注意的可能性。您可以通过运行漏洞利用漏洞来确认漏洞。请参阅使用漏洞。您还可以检查扫描日志,以确保指纹确定了潜在的易受攻击项的确定性。较高的指纹确定性可能表明存在更大漏洞的可能性。

如何找出漏洞的确定性特征

您可以在不同区域找到已报告漏洞的确定性级别:

  • PCI审核报告包括一个表格,该表格列出了每个漏洞的状态。状态是指确定性特征,例如被利用的,潜在的或易受攻击的版本。
  • 报告卡报告的其中一个表中包含一个类似的状态列,该表还列出了有关应用程序针对每个资产上的每个漏洞执行的测试的信息。
  • XML Export和XML Export 2.0报告包含一个称为测试状态的属性,该属性包含确定性特征,例如易受攻击的和不可受攻击的。
  • CSV报告包含与确定性特征相关的结果代码。
  • 如果您有权访问Web界面,则可以在列出有关该漏洞的详细信息的页面上查看该漏洞的确定性特征。

请注意,在“审核”报告中显示的“发现的漏洞和潜在的漏洞”部分未区分潜在的漏洞和已确认的漏洞。

超越漏洞

查看报告时,请注意漏洞以外的其他迹象,这些迹象可能会使您的网络面临风险。例如,应用程序可能发现telnet服务并将其列出在报告中。telnet服务不是漏洞。但是,telnet是未加密的协议。如果您网络上的服务器正在使用此协议与远程计算机交换信息,则不请自来的一方很容易监视传输。您可能需要考虑使用SSH。

在另一个示例中,它可能会发现一个Cisco设备,该设备允许Web请求转到HTTP服务器,而不是将其重定向到HTTPS服务器。同样,从技术上讲,这不是漏洞,但是这种做法可能会公开敏感数据。

研究报告可帮助您主动管理风险。

使用报告数据确定修复的优先级

报告中一长串漏洞可能令人生畏,您可能想知道首先要解决哪个问题。漏洞数据库包含对12,000多个漏洞的检查,而您的扫描可能发现比您有时间纠正的漏洞更多。

优先考虑漏洞的一种有效方法是指出哪些漏洞与漏洞有关联。具有已知漏洞的漏洞对您的网络构成非常具体的风险。Exploit ExposureTM功能标记已知漏洞的漏洞,并提供与Metasploit模块和Exploit数据库的漏洞利用信息链接。它还使用Metasploit团队的漏洞利用排名数据对给定漏洞利用所需的技能级别进行排名。此信息显示在安全控制台Web界面的漏洞列表中,因此您可以立即查看

由于您无法预测攻击者的技能水平,因此强烈建议最佳做法是立即修复具有实时漏洞利用的任何漏洞,而不考虑漏洞利用所需的技能等级或已知漏洞利用的数量。

报表创建设置可能会影响报表数据

报表设置可以通过多种方式影响报表数据:

  • 使用最新的扫描数据:如果不再使用的旧资产仍出现在您的报告中,并且如果不需要,请确保启用标记为仅使用最近的扫描数据的复选框。
  • 报告计划与扫描计划不同步:如果尽管自上次生成报告以来您已进行了实质性补救,但报告的漏洞数量没有变化,请对照扫描计划检查报告计划。如果报告旨在显示补丁验证,请确保自动生成报告以跟随扫描。
  • 不包含资产:如果报告未显示预期的资产数据,请检查报告配置以查看已包含和省略了哪些站点和资产。
  • 不包括漏洞:如果报告未显示预期的漏洞,请检查报告配置是否包含已从报告中过滤掉的漏洞。在“ 创建报告”面板的“ 范围”部分上,单击“ 基于漏洞筛选报告范围”,并验证是否已正确设置筛选器以包括所需的类别和严重性级别。

根据风险评分优先

优先考虑漏洞的另一种方法是根据其风险评分。分数越高,优先级越高。

该应用程序将计算其在扫描过程中发现的每个资产和漏洞的风险评分。分数表明,漏洞的影响和利用可能性使漏洞可能对网络和业务安全造成威胁。

根据不同的风险策略计算风险分数。请参阅使用风险策略分析威胁

本文章首发在 网安wangan.com 网站上。

上一篇 下一篇
讨论数量: 0
只看当前版本


暂无话题~