漏洞何时成为可利用的？什么是漏洞数据库？

在网络安全中，漏洞是一种弱点，网络犯罪分子可以利用它来获得对计算机系统的未经授权的访问。利用漏洞后，网络攻击可以运行恶意代码、安装恶意软件甚至窃取敏感数据。漏洞可通过多种方法加以利用，包括SQL 注入、缓冲区溢出、跨站点脚本 (XSS)和用于查找Web 应用程序中已知漏洞和安全弱点的开源漏洞利用工具包。许多漏洞影响流行的软件，使许多使用该软件的客户面临数据泄露或供应链攻击的高风险。这种零日漏洞被 MITRE 注册为常见漏洞暴露(CVE)。

漏洞定义

脆弱性有很多定义。以下是来自各种网络安全机构的定义列表。

美国国家标准与技术研究院 (NIST)：信息系统、系统安全程序、内部控制或实施中可能被威胁源利用或触发的弱点。

ISO 27005：可以被一个或多个网络威胁利用的资产或资产组的弱点，其中资产是对组织、其业务运营及其连续性有价值的任何东西，包括支持组织使命的信息资源。

IETF RFC 4949：系统设计、实施或操作和管理中的缺陷或弱点，可被利用以违反系统的安全策略。

ENISA：存在的弱点、设计或实施错误，可能导致意外的、不良事件危及所涉及的计算机系统、网络、应用程序或协议的安全性。

开放组：威胁能力超过抵抗威胁能力的概率。

信息风险因素分析：资产无法抵抗威胁代理行为的概率。

ISACA：设计、实施、运营或内部控制方面的弱点

何时应该公开披露已知漏洞？

是否公开披露已知漏洞仍然是一个有争议的问题。有两种选择：

立即全面披露

一些网络安全专家主张立即披露，包括有关如何利用漏洞的具体信息。立即披露的支持者认为，它可以带来安全的软件和更快的修补程序，从而提高软件安全、应用程序安全、计算机安全、操作系统安全和信息安全。

仅限于不披露

而其他人则反对披露漏洞，因为他们认为该漏洞将被利用。有限披露的支持者认为，将信息限制在特定群体可以降低被剥削的风险。像大多数论点一样，双方都有有效的论点。无论您站在哪一边都知道，友好的攻击者和网络犯罪分子现在很常见定期搜索漏洞并测试已知漏洞。一些公司拥有内部安全团队，其工作是测试组织的 IT 安全和其他安全措施，作为其整体信息风险管理和网络安全风险评估流程的一部分。

一流的公司提供漏洞赏金以鼓励任何人发现漏洞并向他们报告漏洞，而不是利用它们。漏洞赏金计划非常棒，可以帮助最大限度地降低您的组织加入我们最大数据泄露列表的风险。通常，漏洞赏金计划的支付金额将与组织的规模、利用漏洞的难度和漏洞的影响相称。例如，发现一家拥有漏洞赏金计划的财富 500 强公司的个人身份信息 (PII)数据泄露将比您当地街角商店的数据泄露更有价值。

脆弱性和风险之间有什么区别？

网络安全风险通常被归类为漏洞。但是，脆弱性和风险不是一回事，这可能会导致混淆。将风险视为漏洞被利用的概率和影响。如果漏洞被利用的影响和概率较低，则风险较低。相反，如果漏洞被利用的影响和概率很高，则风险很高。一般来说，网络攻击的影响可能与中央情报局的三元组或资源的机密性、完整性或可用性有关。按照这一系列推理，在某些情况下，常见漏洞不会构成风险。例如，当存在漏洞的信息系统对您的组织没有价值时。

漏洞何时成为可利用的？

具有至少一个已知有效攻击向量的漏洞被归类为可利用漏洞。漏洞窗口是从漏洞被引入到修补的时间。如果您有强大的安全实践，那么您的组织将无法利用许多漏洞。例如，如果您正确配置了S3 安全性，那么泄漏数据的可能性就会降低。检查您的 S3 权限或其他人会。同样，您可以通过第三方风险管理和供应商风险管理策略降低第三方风险和第四方风险。

什么是零日漏洞？

零日漏洞利用（或零日漏洞）利用零日漏洞。零日（或 0 日）漏洞是那些想要修补漏洞的人不知道或无法解决的漏洞。在漏洞被修补之前，攻击者可以利用它对计算机程序、数据仓库、计算机或网络产生不利影响。“第 0 天”是相关方获悉漏洞的那一天，从而导致补丁或解决方法以避免被利用。要了解的关键是，自第零天以来的天数越少，没有开发补丁或缓解措施的可能性就越大，成功攻击的风险就越高。

什么导致漏洞？

导致漏洞的原因有很多，包括：

复杂

复杂的系统会增加出现缺陷、配置错误或意外访问的可能性。

熟悉度

通用代码、软件、操作系统和硬件增加了攻击者找到或掌握已知漏洞信息的可能性。

连接性

设备连接得越多，漏洞的

密码管理不善

弱密码可以通过暴力破解，重复使用密码可能导致一个数据泄露事件变得越来越多。

操作系统缺陷

像任何软件一样，操作系统也可能存在缺陷。默认情况下不安全且允许任何用户访问并可能注入病毒和恶意软件的操作系统。

互联网使用

互联网上充斥着可以自动安装在计算机上的间谍软件和广告软件。

软件错误

程序员可能会意外或故意在软件中留下可利用的漏洞。有时最终用户无法更新他们的软件，导致他们没有打补丁并且容易受到攻击。

未经检查的用户输入

如果您的网站或软件假定所有输入都是安全的，它可能会执行意外的 SQL 命令。

人们

任何组织中 社会工程是对大多数组织的最大威胁。

什么是漏洞管理？

漏洞管理是一种识别、分类、修复和缓解安全漏洞的周期性实践。漏洞管理的基本要素包括漏洞检测、漏洞评估和修复。

漏洞检测方法包括：

• 漏洞扫描
• 渗透测试
• 谷歌黑客

一旦发现漏洞，它就会进入漏洞评估过程：

识别漏洞：分析网络扫描、渗透测试结果、防火墙日志和漏洞扫描结果，以发现表明网络攻击可能利用漏洞的异常情况。

验证漏洞：确定已识别的漏洞是否可以被利用，并对漏洞利用的严重性进行分类以了解风险级别

缓解漏洞：确定对策以及在补丁不可用的情况下如何衡量其有效性。

修复漏洞：尽可能更新受影响的软件或硬件。

由于网络攻击在不断发展，因此漏洞管理必须是一种持续且重复的做法，以确保您的组织受到保护。

什么是漏洞扫描？

漏洞扫描程序是旨在评估计算机、网络或应用程序的已知漏洞的软件。他们可以识别和检测由于网络中的错误配置和有缺陷的编程而引起的漏洞，并执行经过身份验证和未经身份验证的扫描：

身份验证扫描：允许漏洞扫描程序使用安全外壳 (SSH) 或远程桌面协议 (RDP) 等远程管理协议直接访问网络资产，并使用提供的系统凭据进行身份验证。这可以访问特定服务和配置详细信息等低级数据，提供有关操作系统、已安装软件、配置问题和缺少安全补丁的详细而准确的信息。

未经身份验证的扫描：结果是误报和有关操作系统和已安装软件的不可靠信息。这种方法通常被网络攻击者和安全分析师用来尝试确定面向外部的资产的安全态势，并发现可能的数据泄露。

什么是渗透测试？

渗透测试，也称为渗透测试或道德黑客攻击，是一种测试信息技术资产以发现攻击者可以利用的安全漏洞的做法。渗透测试可以通过软件自动化或手动执行。无论哪种方式，该过程都是收集有关目标的信息，识别可能的漏洞并尝试利用它们并报告调查结果。渗透测试还可用于测试组织的安全策略、对合规性要求的遵守情况、员工的安全意识以及组织识别和响应安全事件的能力。

什么是谷歌黑客？

Google hacking 是使用搜索引擎（例如 Google 或 Microsoft 的 Bing）来定位安全漏洞。谷歌黑客攻击是通过在查询中使用高级搜索运算符来定位难以找到的信息或因云服务配置错误而意外暴露的信息而实现的。安全研究人员和攻击者使用这些有针对性的查询来定位不打算向公众公开的敏感信息。

这些漏洞往往分为两种类型：

• 软件漏洞
• 错误配置

也就是说，绝大多数攻击者会倾向于搜索他们已经知道如何利用的常见用户错误配置，并简单地扫描具有已知安全漏洞的系统。为防止 Google 黑客攻击，您必须确保正确配置所有云服务。一旦有东西暴露给谷歌，不管你喜不喜欢，它都是公开的。是的，Google 会定期清除其缓存，但在此之前，您的敏感文件会被公开。

什么是漏洞数据库？

漏洞数据库是收集、维护和共享有关已发现漏洞的信息的平台。MITRE 运行最大的CVE 或常见漏洞和暴露之一，并分配一个通用漏洞评分系统 (CVSS) 分数，以反映漏洞可能给您的组织带来的潜在风险。CVE 的中央列表是许多漏洞扫描程序的基础。

公共漏洞数据库的好处是它允许组织开发、优先排序和执行补丁和其他缓解措施，以纠正关键漏洞。也就是说，它们还可能导致从匆忙发布的补丁中创建额外的漏洞，这些补丁修复了第一个漏洞但又创建了另一个漏洞。

漏洞数据库中的常见漏洞列表包括：

初始部署失败：数据库的功能可能看起来不错，但如果没有严格的测试，漏洞可能会让攻击者渗透。糟糕的安全控制、弱密码或默认安全设置可能导致敏感材料变得可公开访问。

SQL 注入：数据库攻击通常记录在漏洞数据库中。

配置错误：公司经常无法正确配置他们的云服务，使它们容易受到攻击并且经常可以公开访问。

审计不足：如果没有审计，就很难知道数据是否已被修改或访问。漏洞数据库已经公布了审计跟踪作为网络攻击威慑的重要性。