什么是漏洞管理？

漏洞管理流程包括识别、评估、处理、管理和报告漏洞。漏洞管理是组织网络安全计划中不可或缺的一部分，需要持续的监控和改进，以更好地防范新出现的安全威胁。采用基于风险的漏洞管理的组织可以更加主动、精确和有意地保护其云基础设施。 

有效的漏洞管理策略可以帮助组织及时监控、识别和应对现有和新出现的威胁。有效的策略使组织能够通过呈现其威胁缓解和事件响应计划来减少业务中断。这种漏洞管理方法对于维护利益相关者的利益、帮助满足监管合规性以及灌输对组织声誉的信任感至关重要。

但是，在云端管理安全漏洞的方法需要有别于传统的漏洞管理方法。现代云环境比传统的本地架构更复杂，因此需要不同的方法来处理漏洞。 

AWS 提供各种托管服务和工具来帮助您改善云安全状况，例如：

• 使用 AWS Identity and Access Management（IAM）来监管对访问 AWS 服务的用户和工作负载的访问权限控制。
• 通过选择工作负载的部署位置来维护数据主权。例如，AWS 专用本地区域支持您在所选位置进行部署，以满足数据驻留要求。
• 使用 AWS Web 应用程序防火墙（WAF）可以监控、阻止和缓解与部署的 Web 应用程序相关的安全风险。

您可以使用 AWS 云安全服务来提高安全性、管理风险，并根据责任共担模式帮助实现合规性。漏洞管理是责任共担模式的一部分。

在保护工作负载免受漏洞侵害时，组织范围内的可见性有助于及时检测和响应事件，并简化安全规划。使用 AWS Security Hub 等解决方案可提供组织和安全态势的统一视图，从而使您能够在云中实现安全威胁的大规模协同处置、优先级划分和响应。Security Hub 支持基于风险的漏洞管理，允许您对风险进行优先级排序、关联威胁信号，并持续监控 AWS 上的受保护资产。

安全管理工作从架构规划开始，并贯穿至云工作负载部署完成后。以下是创建漏洞管理程序的步骤。

1.制定漏洞管理计划

漏洞管理方案需列出缓解已知和未知漏洞的目标、范围与责任。漏洞管理计划能够帮助安全团队、员工和其他利益相关者在处理漏洞时以可预测的方法采取行动。

要制定漏洞管理计划，需要纳入以下内容：

• 根据漏洞严重程度对漏洞进行分类的方法
• 用于资产监控、威胁检测和事件响应的漏洞管理工具
• 针对相应风险类别，安全团队必须遵守的目标解决时限
• 用于提供安全见解、未解决问题及合规状态的报告要求
• 用于推动整个组织的问责制和责任划分的治理工作流程

2.实施漏洞扫描

漏洞扫描可以帮助安全团队识别您的数字资产中已知和新出现的安全漏洞。漏洞扫描程序会分析应用程序、网络和基础设施，识别可能被威胁行为者利用的漏洞。

您可以对包括以下内容在内的各种数字资产进行自动漏洞扫描：

• 应用程序
• 网络配置
• 云基础设施
• 服务器和计算机系统
• 端点设备

例如，在 AWS 云中，Amazon Inspector 会自动扫描计算实例、代码存储库、容器映像和其他工作负载类型是否存在漏洞。您可以使用 Amazon Inspector、AWS Systems Manager 和 AWS Security Hub 来帮助识别和应对公开披露的漏洞。

3.建立基于风险的漏洞管理流程

接下来，创建一个工作流程来识别漏洞以及对已识别的漏洞进行优先级划分和修复。此外，在管理漏洞时，还需考量运行环境、可能造成的影响，以及受影响的工作负载。此分类步骤很有用，因为不同漏洞的严重程度存在差异，对业务和运营成果造成的影响范围也不同。

要进行风险评测，可以采用标准评分系统[如通用漏洞评分系统（CVSS）]作为风险因素评估依据。借助标准化框架，您可以在按照目标解决时间表缓解已发现风险的同时，以最佳方式分配资源。例如，某个用户身份验证模块中的漏洞即便被评定为低风险，也应优先处理，以防止未经授权的访问。

4.设置补丁管理

补丁管理对于管理组织威胁暴露面的安全风险至关重要。补丁管理工具会自动从供应商处下载安全补丁和软件更新，并将其应用于已部署的软件。如果实现自动化，补丁管理软件会在已知和潜在漏洞造成更重大的风险前对其进行修复，从而填补安全漏洞。

例如，在 AWS 上，您可以使用 AWS Systems Manager 补丁管理器自动进行补丁管理。补丁管理器可以将安全补丁应用到 Amazon Elastic Compute Cloud（EC2）实例、边缘设备、本地设备和虚拟机。您可以设置补丁策略，以根据区域、审批指南和预定时间来应用安全补丁。

注意：可以考虑先在少量设备上部署补丁，然后再在组织范围内应用。这种方式让您可以确认补丁的稳定性，不会对业务运营造成不良影响。

5.配置恶意软件防护

恶意程序（或恶意软件）可以在不受监控的环境感染设备。要防范恶意软件感染，请安装恶意软件防护工具，如 AWS GuardDuty。

AWS GuardDuty 由人工智能和机器学习提供支持，可对各类恶意软件调查发现（包括木马、蠕虫、加密货币挖矿程序、rootkit 或自动程序）进行分析、检测和上报。此外，您还可以将所有检测结果上报至 AWS Security Hub，以促进修复工作。

6.在 CI/CD 管道中集成漏洞扫描

应用程序在开发阶段，可能会因代码缺陷、安全检查不到位以及使用不安全的第三方组件等原因引入漏洞。如果这些安全缺陷未被发现，就会被带入生产环境，从而导致更高的修复成本。为避免此类复杂问题，请践行安全左移理念，在软件开发生命周期的早期阶段使用 AWS CodeGuru 等工具对代码执行漏洞扫描。

AWS CodeGuru 是一款静态应用程序安全测试工具（SAST），能够帮助软件团队更高效地识别和修复漏洞。您可以轻松将 CodeGuru 集成到 CI/CD 工作流中，通过机器学习支持的自动推理来自动检测安全缺陷。

7.配置安全监控服务

安全团队需要全面了解组织的基础设施、网络和工作负载才能有效应对威胁和事件。相较于手动执行扫描和上报安全调查发现，最佳实践是采用统一的安全监控服务（如 AWS Security Hub），以简化云安全工作流程。

部署 AWS Security Hub 后，您可以通过基于标准化安全框架的自动检查来帮助提高云韧性。AWS Security Hub 可与其他 AWS 服务集成，以加快识别、遏制和响应威胁的速度。借助 AWS Security Hub，您可以大致了解需要立即执行的漏洞管理操作，并缩短从漏洞检测到修复的时间。

8.实施 Web 应用程序渗透测试

通过渗透测试，您可以主动识别安全漏洞并评测其对组织的影响。在 Web 应用程序渗透测试中，网络安全专家执行有目的和有针对性的尝试，以评测已部署的 Web 应用程序的现有安全措施。然后，专家会记录结果，对最严重的漏洞进行优先级排序，并执行缓解措施。

注意：如果您在 AWS 上构建、测试和部署应用程序，则可以对允许的服务进行渗透测试，以验证和提高 Web 应用程序的整体安全状况。

9.使用基础设施即代码实现自动化

借助基础设施即代码（IaC）服务，可以更轻松地保护复杂的云环境。手动预置云资源会增加云配置出错的风险，这可能会影响基础设施安全。

与其手动配置云基础设施，不如使用 AWS CloudFormation 等 IaC 工具来自动执行计算资源分配、服务配置和其他云管理任务。使用 CloudFormation，您能够以持续且受控的方式扩展 AWS 工作负载，同时降低配置错误的风险。 

有效的漏洞管理解决方案需要通过持续监控和改进来缓解新出现的风险。安全团队会根据威胁情报优化自身的安全防护方法，以应对当前的威胁形势。

Amazon GuardDuty 这类威胁识别工具可帮助您快速识别、分析和响应 AWS 账户、工作负载及数据中的威胁。Amazon GuardDuty 能够为您提供对工作负载的端到端可见性，让您无需人工干预即可扩展安全防护工作。

此外，还必须通过持续的报告将安全评测结果、事件和补救状态告知关键的利益相关者。及时的报告有助于组织做出明智的决策，并防止威胁升级。 

漏洞管理对于支持组织在云端安全开展创新工作至关重要。全面的漏洞管理系统有助于防止因网络威胁导致的业务中断、财产损失和声誉损害。在 AWS 上，开展漏洞管理的前提是理解责任共担模式，该模式是构建分层安全防护措施的基础。

在此处探索更多借助 AWS 云安全性、身份性与合规性服务优化漏洞管理的方法。