漏洞管理
识别、分类、优先处理、补救和缓解软件漏洞的递推做法
漏洞管理是針對電腦漏洞所進行「週期性的識別漏洞、進行分類、決定優先級、進行補救措施及緩解措施」的流程[1]。漏洞管理是電腦安全及網絡安全的重點內容,和針對一般系統的漏洞評估不同[2]。
發現漏洞的方式很多,漏洞掃描器可以分析電腦系統,尋找已知的漏洞[3],像是open port、不安全的軟件組態、可能被惡意軟件入侵的系統。也可以用比對公開來源(例如NVD),或是訂閱商業版的漏洞警告服務來找出漏洞。模糊測試(fuzz testing)可以用來尋找未知的漏洞(例如零日攻擊)[3],也可以用相關的測試用例找出特定的漏洞(例如緩衝區溢出),這類分析也可以用自動化測試來進行。此外,有啟發式演算法的防毒軟件,根據可疑的軟件行為(例如覆寫系統文件)來找未公開的惡意軟件。
專案漏洞管理
編輯專案漏洞管理是指專案容易受到負面事件影響的特性,對其影響的分析,以及專案可以克服負面事件的能力[4]。按照Systems Thinking的觀點,專案漏洞管理會用全面性的觀點,進行以下的流程:
- 專案漏洞識別。
- 漏洞分析。
- 漏洞響應計劃。
- 漏洞控制:包括對策實施、監控、控管以及經驗傳承。
在此模型下,透過以下的層面來克服負面事件
- 抵抗(resistance):靜態層面,是指可以承受立即損害的能力。
- 韌性(resilience):動態層面,是指可以在一段時間後恢復的能力。
系統冗餘是在漏洞管理上,可以提昇抵抗及韌性的特殊作法[5]。
反脆弱(Antifragility)是納西姆·尼可拉斯·塔雷伯提出的概念,敘述系統不但可以抵抗負面事件,或是具有恢復的韌性,而且系統可以因為負面事件而進步。反脆弱類似Stefan Morcov所提出專案複雜度中的積極複雜性(positive complexity)。
相關條目
編輯參考資料
編輯- ^ Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5
- ^ Walkowski, Michał; Oko, Jacek; Sujecki, Sławomir. Vulnerability Management Models Using a Common Vulnerability Scoring System. Applied Sciences. 19 September 2021, 11 (18): 8735. doi:10.3390/app11188735 .
- ^ 3.0 3.1 Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 [1] (頁面存檔備份,存於互聯網檔案館).
- ^ Marle, Franck; Vidal, Ludovic‐Alexandre. Managing Complex, High Risk Projects - A Guide to Basic and Advanced Project Management. London: Springer-Verlag. 2016.
- ^ Nassim N. Taleb, Daniel G. Goldstein. The Six Mistakes Executives Make in Risk Management. Harvard Business Review. 2009-10-01 [2021-12-13]. ISSN 0017-8012. (原始內容存檔於2023-07-21).
外部連結
編輯- "Implementing a Vulnerability Management Process" (頁面存檔備份,存於互聯網檔案館). SANS Institute.