漏洞管理深度解析：Tenable EISS 2019深圳站指南

在《2.2 漏洞管理之爬坑不完全指南》的演讲中，许晓晨（SHAWN）探讨了在现代IT环境中有效进行漏洞管理所面临的挑战与最佳实践。演讲内容主要围绕以下几个关键点展开： 1. 资产发现：识别组织内的资产是漏洞管理的基础，包括在线IP地址、开放端口（已知和未知）、网络服务（如telnet、SSH、RDP等）、应用软件和中间件（如WebLogic、Struts2等）。然而，常规的网络扫描可能遗漏非网络服务和特定中间件，比如Java应用。登录扫描虽有帮助，但受限于环境多样性（如开源组件的定制安装）和插件的局限。 2. 自动化漏洞评估：针对硬件场景，通过使用像Nessus这样的工具进行自动化评估，能够提高效率，但需要创建自定义脚本来应对特定资产的识别不足。 3. 修复优先级分析：评估漏洞的严重性和业务影响来确定修复的优先级。对于低风险漏洞，需权衡是否立即修复，特别是当面临海量漏洞时。高危漏洞则应优先处理，但要确保资源分配合理。 4. 衡量与决策：在修补过程中，需要建立度量标准，考虑IoT、OT（工业物联网）和云环境下的特殊需求，以及IT资产的业务上下文，以便确定责任人并推动修复流程。 5. 识别与保护：强调资产清单的重要性，因为缺乏准确的资产清单会导致安全策略执行困难。需要明确哪些资产值得保护，包括它们的用途和业务价值。 6. 标准与定制：利用标准shell命令（CMD_EXEC）实现资产发现，虽然通用性强，但可能存在误报和定制需求。演讲者推荐了Github上的项目如`ns_custom_audit`，其中包含Nessus自定义基线脚本，供用户参考和定制。 这篇演讲旨在提供一个全面的视角，帮助IT团队识别漏洞管理中的陷阱，并提出针对性的方法来提升漏洞管理的效率和准确性，确保资产的安全和组织的整体安全策略得以执行。