漏洞管理

识别、分类、优先处理、补救和缓解软件漏洞的递推做法

漏洞管理是針對電腦漏洞所進行「週期性的識別漏洞、進行分類、決定優先級、進行補救措施及緩解措施」的流程[1]。漏洞管理是電腦安全網路安全的重點內容,和針對一般系統的漏洞評估英語vulnerability assessment不同[2]

發現漏洞的方式很多,漏洞掃描器可以分析電腦系統,尋找已知的漏洞[3],像是open port英語open port、不安全的軟體組態、可能被惡意軟體入侵的系統。也可以用比對公開來源(例如NVD),或是訂閱商業版的漏洞警告服務來找出漏洞。模糊測試(fuzz testing)可以用來尋找未知的漏洞(例如零日攻擊[3],也可以用相關的測試用例找出特定的漏洞(例如緩衝區溢出),這類分析也可以用自動化測試來進行。此外,有啟發式演算法防毒軟體,根據可疑的軟體行為(例如覆寫系統文件)來找未公開的惡意軟體。

有很多不同的漏洞矯正措施,包括了安裝修補程式、改變網路安全政策、重新配置軟體,或是教育用戶防範社交工程

專案漏洞管理

編輯

專案漏洞管理是指專案容易受到負面事件影響的特性,對其影響的分析,以及專案可以克服負面事件的能力[4]。按照Systems Thinking的觀點,專案漏洞管理會用全面性的觀點,進行以下的流程:

  1. 專案漏洞識別。
  2. 漏洞分析。
  3. 漏洞響應計劃。
  4. 漏洞控制:包括對策實施、監控、控管以及經驗傳承

在此模型下,透過以下的層面來克服負面事件

  • 抵抗(resistance):靜態層面,是指可以承受立即損害的能力。
  • 韌性(resilience):動態層面,是指可以在一段時間後恢復的能力。

系統冗餘是在漏洞管理上,可以提昇抵抗及韌性的特殊作法[5]

反脆弱英語Antifragility(Antifragility)是納西姆·尼可拉斯·塔雷伯提出的概念,敘述系統不但可以抵抗負面事件,或是具有恢復的韌性,而且系統可以因為負面事件而進步。反脆弱類似Stefan Morcov所提出專案複雜度中的積極複雜性(positive complexity)。

相關條目

編輯

參考資料

編輯
  1. ^ Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5
  2. ^ Walkowski, Michał; Oko, Jacek; Sujecki, Sławomir. Vulnerability Management Models Using a Common Vulnerability Scoring System. Applied Sciences. 19 September 2021, 11 (18): 8735. doi:10.3390/app11188735 . 
  3. ^ 3.0 3.1 Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 [1]頁面存檔備份,存於網際網路檔案館).
  4. ^ Marle, Franck; Vidal, Ludovic‐Alexandre. Managing Complex, High Risk Projects - A Guide to Basic and Advanced Project Management. London: Springer-Verlag. 2016. 
  5. ^ Nassim N. Taleb, Daniel G. Goldstein. The Six Mistakes Executives Make in Risk Management. Harvard Business Review. 2009-10-01 [2021-12-13]. ISSN 0017-8012. (原始內容存檔於2023-07-21). 

外部連結

編輯