这些漏洞评估应用程序已经可以很好的识别出Web应用程序、补丁管理、配置、系统和数据库硬化中的常见错误。但是随着漏洞评估产品和服务的增多，我们开始面临新的问题。

　　任何需要维护一定规模的基础设施或者网络结构的企业可以轻松的使用很多不同的应用程序、服务和工具来维护和检测漏洞问题，这些工具中包含的V.A扫描仪可以检查应用程序、数据库、主机和网络中的安全漏洞。

　　漏洞管理程序可能还需要部署SaaS(软件即服务)来协助自动工具或者手动测试的漏洞检查。静态源代码分析工具用来内部存储漏洞数据。

　　这种漏洞数据可能包括web应用程序漏洞，如VA扫描仪错过的技术漏洞，以及因缺乏程序或者意识造成的社会工程学问题。

　　海量数据

　　在某些情况下，我们开始发现，安全项目的成熟度可能带来复杂性和更多数据，但是这些数据还只是冰山一角。那么CISO要如何连接所有这些数据呢?管理层在进行系统修复时应该先优先处理哪些问题和漏洞呢?

　　将这些漏洞问题排列有限秩序后，我们如何对漏洞管理系统中的漏洞进行跟踪和更改呢?

　　这里的问题不仅仅是管理企业所有的海量数据，现在还需要管理通过不同方式(包含重复漏洞或者错误漏洞的漏洞评估报告等)描述的所有数据。查明出漏洞和问题已经不再是企业关注的主要问题，我们还需要对他们做些什么。

　　为了关闭这些漏洞，安全团队需要开始整理数据并将数据陈列给管理层、开发人员和工程师，以找出真正的问题。 越来越多的管理工具会带来很多重复性的工作，这将很大程度上浪费安全专家等劳动力。

　　因此在考虑这个问题时，有以下6个基本要求：

　　·方式统一化: 所有的漏洞数据都需要以同样的方式进行描述，以便能够在主机、网络、应用程序和数据库漏洞间进行数据对比。

　　·使用现有的标准: 不要再另外建立标准。

　　·连接数据： 如果没有这样做，就无法解决问题，我们的解决方案的主要目的在于消除这些数据、报告和跟踪带来的复杂性。

　　·确定标准： 这可能是一个比较容易的要求，毕竟企业现有的项目中已经有很多漏洞指标，当数据连接在一起时，要求有更多的标准来跟踪和衡量我们的工作。

　　·有效的报告： 一旦集中化、统一化和关联化这些数据，我们就能够打开数据库并对数据进行优先排序。

　　·保持简单化：这个就不用说了。

　　进入安全内容自动化协议(SCAP)

　　SCAP是信息安全自动化计划的一部分，主要由很多现有的标准组成，这些标准包括我们已经很熟悉的标准，例如CVE(常见漏洞利用)和CVSS(常见漏洞评分系统)。此外，还包括CPE(通用枚举平台)，表述了具体的硬件、操作系统和软件配置。可以利用该平台列举出各项企业资产，为各项资产的数据提供基本的管理依据;CCE(常见配置枚举)与CVE很相似，但是主要用于处理错误配置问题;OVAL(开放漏洞和评估语言)能够提供说明计算机目录的结构，以及说明计算机的配置和发现的漏洞情况;XCCDF(可扩展配置清单说明格式)是一种描述语言，可以帮助你将企业技术正常和标准应用于扫描工具。

　　现在让我们看看如何利用这些建立真正的解决方案：

　　正如上面所说的漏洞管理项目，主要通过应用程序安全评估工具、主机和网络扫描器、数据库漏洞和配置扫描器等来处理数据。

　　实际上，这包含很多针对应用程序安全的产品和服务，以及针对主机和网络评估的多种工具。

　　首先需要利用评估工具供应商提供的API以及XML数据feeds，利用一些代码来自动化处理这些数据，而现在需要将这些信息进行规范化描述，就需要利用SCAP标准。有了描述漏洞的共同方式后，就可以消除在相同平台的相同CVE中有重复现象。

　　还可以利用CVSS为漏洞进行评分，不仅能提供统一的评分方式，还可以用于PCI DSS安全审计标准。

　　在中央数据存储中集中所有漏洞信息后，就可以创建报告和标准，就可以向公司管理层展示所有应用程序、主机、网络和数据库等的安全漏洞情况，这种集中化和规范化数据也能够让CISO和技术管理人员对安全漏洞修复工作进行优先排序。然后，可以向修复系统(如bug跟踪器和错误处理系统)中建立连接器，以节省验证到修复的时间。

　　最后，希望本文提供的方法能够帮助安全团队自动化重复性工作，并同时加速企业修复时间。

本站广告：业务范围：湖南主机托管、湖南服务器托管、长沙主机托管、长沙服务器托管、湖南主机租用、湖南服务器租用，实力雄厚、资源丰富！