1. 漏洞策略的要素

1.1. 人員

• 1.1.1. 處理安全問題的團隊以及參與流程和計劃的員工應該在處理漏洞問題方面具有廣泛的知識和專業技能

1.2. 流程

• 1.2.1. 進行評估的流程可以由任何人完成

1.3. 技術

• 1.3.1. 安全專家使用的技術在漏洞管理系統的有效性方面發揮著巨大作用

• 1.3.2. 該技術應該足夠簡單，以幫助進行有效掃描，并在系統出現問題時啟用其他功能

2. 漏洞管理與漏洞評估的區別

2.1. 在追求有效的漏洞管理的過程中，漏洞評估幫助組織確定系統中的漏洞，然后才能制定一個全面的漏洞管理計劃來解決所發現的問題

• 2.1.1. 織雇用外部安全顧問等專家對系統進行評估，專門評估系統的漏洞和它們給公司帶來的風險

2.2. 漏洞管理是一個多方面的、持續的過程，而漏洞評估是一個一次性的項目

• 2.2.1. 評估有一個固定的時間段，安全專家將掃描系統以識別潛在的漏洞

• 2.2.2. 掃描成功后，專家將能夠識別系統中的弱點

• 2.2.2.1. 這標志著漏洞評估階段的工作結束

• 2.2.2.2. 漏洞管理則不止于此

• 2.2.3. 評估完成后的所有后續活動都屬于漏洞管理

2.3. 漏洞管理還包括其他過程，如識別漏洞、處理已識別的漏洞，以及將這些漏洞報告給利益相關者，如業務執行部門和行業網絡安全專家，如可能使用該信息升級其安全產品的供應商

• 2.3.1. 漏洞管理的整個過程比評估更重要，評估只幫助識別問題，而沒有為識別的問題提供處理過程

2.4. 漏洞評估并不能解決系統的缺陷，它只能通過為這些缺陷推薦解決方案來提供幫助

• 2.4.1. 漏洞管理更進一步，將確保解決方案得到實施，安全問題得到解決

• 2.4.2. 評估無助于改進系統，它只會提醒你所面臨的來自系統的危險

3. 漏洞管理最佳實踐

3.1. 即使用最好的工具，在漏洞管理中，執行才是最重要的

3.2. 從資產盤點開始，組織應該建立單一的權威點

• 3.2.1. 應該有一個人可以承擔責任

3.3. 鼓勵在數據輸入過程中使用一致的縮寫

• 3.3.1. 如果縮寫不斷變化，另一個試圖查看清單的人可能會感到困惑，清單還應每年至少驗證一次

3.4. 最好像對待管理過程中的其他變更一樣謹慎對待清單管理系統的變更

3.5. 在信息管理階段，組織可以獲得的最大成就是向相關受眾快速有效地傳播信息

• 3.5.1. 讓員工有意識地訂閱郵件列表

• 3.5.2. 允許事件響應小組在網站上向組織的用戶發布自己的報告、統計數據和建議

• 3.5.3. 應定期召開會議，與用戶討論新的漏洞、病毒、惡意活動和社會工程學技術

• 3.5.4. 能告知所有的用戶他們可能面臨的威脅以及如何有效地應對這些威脅

• 3.5.5. 制定一個標準化模板，以顯示所有與安全相關的電子郵件的特征

3.6. 風險評估階段是漏洞管理生命周期中對手動操作要求最高的階段之一

• 3.6.1. 在新漏洞出現時立即記錄檢查這個新漏洞的方法

• 3.6.2. 向公眾或至少向組織用戶發布風險評級

• 3.6.3. 建議在此階段確保資產目錄既可用又可更新，以便在風險分析期間梳理網絡中的所有主機

• 3.6.4. 每個組織的事件響應小組還應發布組織為保護自身安全而部署的每個工具的矩陣

• 3.6.5. 本組織應確保有一個嚴格的變更管理流程，以確保新員工了解本組織的安全態勢和已建立的保護機制

3.7. 漏洞評估階段與風險評估階段

• 3.7.1. 在廣泛測試網絡之前征求許可也是一種良好的做法

• 3.7.2. 為特定環境（即組織主機的不同操作系統）創建自定義策略

• 3.7.3. 組織應確定最適合其主機的掃描工具

3.8. 在報告和補救跟蹤階段

• 3.8.1. 確保有可靠的工具向資產所有者發送有關其存在的漏洞以及這些漏洞是否已完全修復的報告

• 3.8.2. 減少從被發現包含漏洞的計算機的用戶那里收到的不必要的電子郵件的數量

• 3.8.3. 按照嚴重程度的層次結構執行補救措施

• 3.8.3.1. 應該優先解決風險最大的漏洞

3.9. 響應計劃階段

• 3.9.1. 實現對不同漏洞的響應的階段

• 3.9.2. 確保響應計劃被記錄，且事件響應小組和普通用戶熟知響應計劃

• 3.9.3. 應快速而準確地向普通用戶提供有關修復已發現漏洞的進度

• 3.9.4. 讓事件響應小組輕松訪問網絡，以便更快地實施修復工作

3.10. 改進漏洞管理的策略

• 3.10.1. 有一個漏洞管理系統是一回事，讓系統有效地工作以阻止攻擊者是另一回事

• 3.10.2. 人們認識到擁有一個漏洞管理系統的重要性

• 3.10.3. 將行政支持作為主要優先事項：一個組織的行政部門是制定戰略決策以及與財務相關的重要決策的部門

• 3.10.3.1. 確保你有一個漏洞管理系統，它可以為行政人員提供關于組織所有方面的詳盡報告，這意味著該系統是有效的

• 3.10.3.2. 目標是擁有一個滿足行政部門需求的漏洞管理策略

• 3.10.3.3. 系統為執行人員生成的報告越具體，效果就越好

• 3.10.4. 確保優先考慮資產可見性

• 3.10.4.1. 目的是確保在任何時候都有全面的資產可見性

• 3.10.4.2. 資產發現是漏洞管理的一個主要因素

• 3.10.4.3. 如果沒有檢查組織擁有的所有資產并審查其狀態的能力，就無法進行漏洞管理

• 3.10.4.4. 漏洞管理程序應該能夠提供檢查與組織相關的所有資產的能力，以確保該程序涵蓋了它們

• 3.10.4.5. 漏洞管理系統應能夠執行無代理掃描、基于代理掃描、端點掃描、BYOD設備掃描、云資產掃描等操作

• 3.10.4.6. 掃描應定期進行，以確保及時識別和整理新的漏洞

• 3.10.5. 確保掃描與修復過程保持一致

• 3.10.5.1. 修復練習是為確保已識別的漏洞得到解決而采取的操作

• 3.10.5.2. 應該確保掃描工作和修復工作以相同的頻率進行

>  3.10.5.2.1. 掃描和發現漏洞而不采取任何措施是毫無意義的

• 3.10.5.3. 確保定期進行掃描，并及時進行修復

>  3.10.5.3.1. 這將確保一個有效的漏洞管理系統

• 3.10.6. 所有風險評估都應考慮業務環境

• 3.10.6.1. 引入業務環境需要分析系統中風險和漏洞的業務影響

• 3.10.6.2. 漏洞管理程序不應該對系統中的所有漏洞給予同等的重視

• 3.10.6.3. 應該分析每個已發現的漏洞，并分析其利用對業務的影響，從而確定需要解決的漏洞的優先級

• 3.10.6.4. 對已發現的漏洞還需要進行戰略管理，這意味著在采取補救措施之前，需要從業務影響的角度對其進行分析

• 3.10.7. 確保將漏洞管理系統中的例外情況降到最低

• 3.10.7.1. 系統中的例外情況是指那些不需要掃描的設備

>  3.10.7.1.1. 其漏洞對漏洞管理程序來說也是未知的

• 3.10.7.2. 這些例外情況給組織帶來了未知的風險，例外情況越多，攻擊者找到并利用例外情況的可能性就越大

• 3.10.8. 將努力集中在正確的度量標準上

• 3.10.8.1. 度量標準在決定漏洞管理程序是否成功方面發揮著關鍵作用

• 3.10.8.2. 在掃描和收集信息后，確定對組織至關重要的度量標準，并堅持使用這些記錄來改進漏洞管理程序非常重要

• 3.10.8.3. 更追求質量，而不是數量

• 3.10.8.4. 不要保存大量不使用的數據，這只會占用更多的資源，降低工作效率

• 3.10.9. 確保風險評估和補救工作流程之間有明確的聯系

• 3.10.9.1. 掃描將導致關于系統的大量信息

• 3.10.9.2. 如果沒有實際的補救措施來解決已發現的漏洞，這些信息就不重要了

• 3.10.9.3. 將評估和補救聯系起來的過程就是工作流

• 3.10.9.4. 每個組織都有獨特的工作流，包括評估后啟動補救工作的特定預定流程

• 3.10.9.5. 定期檢查漏洞管理程序，以確保其按預期工作

• 3.10.9.6. 定期審查正在使用的策略是至關重要的，因為它們可以幫助你避免自滿情緒，這種自滿情緒可能會蔓延，并導致你不更新正在使用的策略這樣將跟不上不斷變化的趨勢