漏洞管理

什么是漏洞管理

漏洞管理 (Vulnerability Management) 是持续识别、评估和修复系统及软件中安全弱点的流程。与一次性漏洞扫描不同，其特点是将从发现到修复、再验证作为一个完整的循环来运营。

漏洞管理的生命周期由 6 个阶段组成：资产盘点 → 漏洞扫描 → 风险评估 → 优先排序 → 修复（补丁应用、配置变更）→ 再验证。通过定期运行此循环，可以大幅降低攻击者利用零日攻击以外的已知漏洞的风险。

CVSS 风险评估与优先排序

定量评估漏洞严重程度的行业标准是 CVSS（Common Vulnerability Scoring System）。CVSS v4.0 将攻击复杂度、所需权限、影响范围等因素量化，计算出 0.0 到 10.0 的评分。

但仅凭 CVSS 评分决定修复优先级是危险的。实务中应综合判断以下因素：

• 可利用性：是否已公开实际攻击代码 (PoC)。CISA 的 KEV（Known Exploited Vulnerabilities）目录中列出的漏洞应最优先处理
• 资产重要度：处理客户数据的系统和内部工具，即使 CVSS 评分相同，应对紧迫度也不同
• 可达性：是面向互联网公开的服务还是在防火墙内部，实际风险不同
• 补偿控制：是否可以通过 WAF 或 IPS 临时阻断攻击

漏洞扫描的类型与运营

漏洞扫描有多种方法，各自的检测范围不同。

• 网络扫描：从外部或内部进行端口扫描和服务检测，与已知漏洞进行比对。代表性工具有 Nessus、Qualys、OpenVAS
• 基于代理的扫描：在各服务器上部署代理，从内部准确掌握 OS 软件包和中间件版本。还能发现网络扫描无法检测的配置问题
• SCA（软件成分分析）：检测应用程序依赖的开源库中的漏洞。npm audit、Snyk、Trivy 等属于此类
• DAST（动态应用安全测试）：向运行中的 Web 应用发送模拟攻击请求，以类似渗透测试的方式检测漏洞

实务中组合使用这些方法以确保全面覆盖。每周代理扫描、每月网络扫描、CI/CD 流水线中的 SCA 并行运营是常见做法。

提升漏洞管理成熟度

为防止漏洞管理流于形式，持续提升组织安全水平，以下指标和机制至关重要。

• MTTR（平均修复时间）：从漏洞发现到修复完成的平均时间。定义 SLA 如 Critical 48 小时内、High 7 天内，并进行跟踪
• 覆盖率：管理资产中已实施扫描的比例。目标 100%，但要始终警惕影子 IT 的存在
• 复发率：曾经修复的漏洞再次被检测到的比例。如果较高，说明补丁管理流程或镜像管理存在问题

通过与 SIEM 联动，将漏洞信息与威胁情报交叉比对，可以立即识别正在遭受攻击的漏洞。与 CSIRT 建立协作体制，事先定义发现重大漏洞时的升级路径也不可或缺。

常见误解

定期执行漏洞扫描就等于做好了漏洞管理

扫描只是漏洞管理的一个环节。只有运营包含发现漏洞的优先排序、修复、再验证在内的持续流程，才能称为漏洞管理。放任扫描结果不管，风险不会有任何改变。

只处理 CVSS 评分为 Critical 的漏洞就够了

即使 CVSS 评分中等，如果攻击代码已在野外流传，也会被立即利用。CISA KEV 目录中列出的漏洞或影响本组织公开资产的漏洞，无论评分高低都应优先处理。

漏洞扫描与渗透测试的区别

相关术语