Alauda Security Service
  • 简体中文

    • 漏洞管理流程

    目录

    概述漏洞管理中的关键步骤资产评估需要监控的关键资产漏洞扫描与评估漏洞优先级排序暴露评估采取行动修复方法持续重新评估

    概述

    漏洞管理是一个持续识别、优先排序和修复漏洞的过程。Alauda Security Service 通过结合扫描结果、上下文风险数据、异常处理和报告工作流来支持这一过程。

    漏洞管理中的关键步骤

    一个成功的漏洞管理计划通常包括以下关键任务:

    • 资产评估
    • 漏洞优先级排序
    • 暴露评估
    • 采取行动
    • 持续重新评估

    Alauda Security Service 使组织能够持续评估 Kubernetes 环境,并提供更有效地优先处理和应对漏洞所需的上下文信息。

    在当前 UI 中,主要的漏洞工作流组织在以下位置:

    • 漏洞管理 > 结果
    • 漏洞管理 > 异常管理
    • 漏洞管理 > 漏洞报告

    资产评估

    要评估组织的资产,请按照以下步骤操作:

    • 识别环境中的资产
    • 扫描这些资产以检测已知漏洞
    • 向相关利益相关方报告漏洞

    当你在集群上安装 Alauda Security Service 时,它会汇聚运行在该集群中的资产,帮助你识别它们。这为团队提供了更高效地优先排序和修复漏洞所需的上下文。

    需要监控的关键资产

    在使用 Alauda Security Service 的漏洞管理过程中,需要监控的关键资产包括:

    • 组件:作为镜像的一部分使用,或运行在节点上的软件包。组件是漏洞存在的最低层级。组织必须升级、修改或移除软件组件以修复漏洞。
    • 镜像:软件组件和代码的集合,用于创建运行可执行代码的环境。镜像是你升级组件以修复漏洞的位置。
    • 节点:用于通过 Alauda Container Platform 或 Kubernetes 管理和运行应用的服务器,包括构成平台或服务的组件。

    Alauda Security Service 将这些资产组织为以下结构:

    • Deployment:Kubernetes 中应用的定义,它可以基于一个或多个镜像运行带有容器的 Pod。
    • Namespace:资源分组,例如 Deployments,用于支持并隔离一个应用。
    • Cluster:用于通过 Alauda Container Platform 或 Kubernetes 运行应用的一组节点。

    漏洞扫描与评估

    Alauda Security Service 会扫描资产中的已知漏洞,并使用 Common Vulnerabilities and Exposures (CVE) 数据来评估其影响。

    对于日常分诊,请先查看 结果,并选择与你正在审查的资产类型相匹配的视图:

    • 用户工作负载
    • 平台
    • 节点
    • 更多视图

    漏洞优先级排序

    要对需要处理和调查的漏洞进行优先级排序,请考虑以下问题:

    • 受影响资产对你的组织有多重要?
    • 漏洞需要多严重才值得调查?
    • 该漏洞是否可以通过修补受影响的软件组件来修复?
    • 该漏洞是否违反了组织的任何安全策略?

    这些问题的答案有助于安全团队和开发团队确定漏洞的暴露程度及所需响应。

    Alauda Security Service 提供了对应用和组件中的漏洞进行优先级排序所需的数据。例如,在按 CVE 查看漏洞发现结果时,请考虑以下信号:

    • CVE 严重性:受该 CVE 影响的镜像数量及其严重性评级(例如 low、moderate、important 或 critical)。
    • Top CVSS:来自供应商来源的该 CVE 在各镜像中的最高 Common Vulnerability Scoring System (CVSS) 分数。
    • Top NVD CVSS:来自 National Vulnerability Database 的该 CVE 在各镜像中的最高 CVSS 分数。必须启用 Scanner V4 才能查看此数据。
    • EPSS 概率:根据 Exploit Prediction Scoring System (EPSS),该漏洞被利用的可能性。这提供了对未来 30 天内是否会观察到利用行为的概率百分比估计。EPSS 数据应与其他信息(例如 CVE 的存在时间)结合使用,以帮助对漏洞进行优先级排序。

    暴露评估

    要评估你对某个漏洞的暴露情况,请询问:

    • 你的应用是否受到该漏洞影响?
    • 该漏洞是否被其他因素缓解?
    • 是否存在可能导致被利用的已知威胁?
    • 你是否正在使用存在漏洞的软件包?
    • 是否值得花时间处理这个特定漏洞和软件包?

    采取行动

    根据你的评估,你可以采取以下行动:

    • 如果不存在暴露或该漏洞不适用于你的环境,将其标记为误报。
    • 如果你存在暴露,请决定是修复、缓解还是接受风险。
    • 移除或更改软件包,以减少攻击面。

    一旦你决定对某个漏洞采取行动,可以:

    • 修复漏洞
    • 缓解并接受风险
    • 接受风险
    • 将漏洞标记为误报

    在当前工作流中,延期和误报处理通过 异常管理 来管理,而计划性或可下载的输出则通过 漏洞报告 来处理。

    修复方法

    要修复漏洞,你可以:

    • 移除软件包
    • 将软件包更新到无漏洞版本

    持续重新评估

    漏洞管理不是一次性的审查。随着镜像变化、发布新的定义以及风险态势演进,请重新审视:

    • 结果,查看新观察到的发现
    • 异常管理,查看延期或误报请求
    • 漏洞报告,查看面向利益相关方的周期性输出