漏洞管理是指識別、評估和修復組織資訊系統和應用程式中存在的漏洞的持續 IT 過程。 它可以將資產分類並按照風險級別將漏洞歸類，因此，漏洞管理並不單單是指漏洞評估。 漏洞管理可以為企業提供一種保護重要 IT 基礎設施不受安全漏洞威脅的經濟、高效方式。

漏洞管理的流程一般包括以下幾項關鍵措施：

網路資產識別，並加以分類和評估。關於資產的資訊應按資料型別分類，比如漏洞、配置、補丁狀態、合規狀態或者僅僅是資產庫存。發現過程應找出網路上的每個計算資產（沒錯，就是每一個），並建立起其他漏洞管理過程可使用的知識庫。由於網路不停在變，資產資訊也需持續更新。

發現過程中找出的資料通常以各種不同的形式報告給相應的受眾。報告過程應建立饋送至漏洞管理過程的優先順序矩陣。畢竟，每個漏洞的原始資料未必都那麼有用。理想狀態下，這些報告應能為戰術性運營任務所用，而在較高層級可為高層管理提供可見性及面向業務的風險指標。

優先化確定，根據預定義特徵集排序已知風險的關鍵漏洞。舉個例子，優先化應引發這樣的思考過程：面對來自發現過程的當前資產狀態、該特定資產的價值及已知威脅，風險到底有沒有重要到我們應花費資源去緩解？或者，該特定資產當下的已知風險是不是公司可接受的？優先化的目標是要用漏洞管理工具建立一張自定義的事件處理順序表。理想狀態下，該經過優先排序的動作列表被饋送到標籤系統共IT運營使用，讓系統管理員據此執行特定任務。

風險應對方法分為3類：修復、緩解，或是接受。修復可以理解為修正已經發現的錯漏。比如說，因為忘了打補丁而導致的漏洞，就可以透過安裝補丁程式來加以修復。另一方面，緩解是透過採取一些基本不在受影響系統直接管轄範圍之內的其他動作來減輕風險。比如說，針對系統上發現的Web應用漏洞，不是去修復漏洞，而是去安裝一個Web應用防火牆。漏洞依然存在，但有了Web應用防火牆，風險也就消弭了。接受風險則是選擇既不修復也不緩解，單純承認並接受風險的存在。舉個例子，某建築設計公司的安全團隊可能會建議所有終端執行防毒軟體。但公司利益相關者卻會因殺軟可能影響某些特殊授權的軟體使用而選擇不採用殺軟。這種情況下，公司選擇接受已知風險。

儘管漏洞管理對於組織來說十分有用且非常必要，但它具有一定的限制。 每天進行漏洞掃描耗時又耗資，而且掃描結果有對有錯，這就是說對系統某個時間點的安全評估只是部分準確。 此外，即便已採取措施修復發現的問題，但零日攻以及尚未發現的威脅仍然存在。

如需對漏洞管理進一步瞭解，請聯絡藍盟IT外包獲取免費諮詢。

文/上海藍盟 IT外包專家