什么是漏洞管理？

漏洞管理是一种 IT 安全实践，涉及识别、评估和修复设备、网络和应用中存在的安全缺陷，以期降低网络攻击和安全漏洞的风险。

安全专业人士将漏洞管理视为安全防护自动化的一个重要组成部分。根据美国国家科学技术研究所（NIST）的定义，漏洞管理是信息安全持续监控（ISCM）的一项必要能力。 

所有漏洞都采用通用漏洞披露（CVE）体系来进行跟踪，安全行业广泛使用这一系统来对安全研究人员和 IT 供应商发现的缺陷进行分类。新的 CVE 漏洞会不断出现，因此漏洞管理是一个持续的过程。漏洞管理计划有助于安全团队以自动化方式执行检测和修复，包括漏洞扫描和修补等。

IT 安全漏洞通过 CVE 列表来进行编目和跟踪，该列表由 MITRE Corporation 监管，由美国国土安全局下属的网络安全和基础设施安全局（CISA）提供资金，CVE 对于整个行业来说都是重要资源。所有研究人员、供应商和开源社区成员可以提交发现的安全缺陷，使其成为 CVE 列表中的条目。

除了简单的 CVE 条目外，安全专业人士还可以从美国国家漏洞数据库（NVD）、CERT/CC漏洞注释数据库和其他来源（如供应商维护的产品相关列表）中找到有关漏洞的技术细节。

在这些不同的系统中，用户可以利用 CVE ID 来识别独特的漏洞并协调安全工具和解决方案的开发。

通用漏洞评分系统（CVSS）是对 CVE 进行评分的行业标准。它会运用一个公式来衡量与漏洞相关的一系列因素，例如潜在攻击是否可以远程进行，攻击有多复杂，以及用户有无必要采取行动。CVSS 会为每个 CVE 分配一个基本分数，范围从 0（无影响）到 10（最高安全风险）不等。

但仅凭这一分数并不能全面评估风险。还有另外两种类型（时间和环境）的评估可帮助形成更加完善的 CVSS 分析。时间评估会增加有关当前的漏洞利用技术、是否存在利用该漏洞的攻击，或是否存在针对该缺陷的补丁或解决办法的详细信息。环境评估则会增加有关最终使用者环境中可能存在的关键任务数据、系统或控制措施的相关详细信息，它们可能会改变攻击造成的影响或攻击成功的概率。

除了 CVSS 评分外，供应商和研究人员还可以使用其他衡量手段。例如，红帽产品安全团队使用四级严重性等级来帮助用户评估安全问题。这些等级包括：

• 重大影响：这类缺陷很容易被未经身份验证的远程攻击者利用，而且无需用户交互就能造成系统失守。 
• 重要影响：这类缺陷很容易损害资源的机密性、完整性或可用性。
• 中度影响：这类缺陷可能比较难以被利用，但在某些情况下仍有可能导致资源的机密性、完整性或可用性受到某种损害。
• 较低影响：所有其他可能对安全产生影响的问题，包括被认为在罕见情况下才能被利用的问题，或者被成功利用后造成极小后果的问题。

近些年来漏洞数量呈现递增趋势，许多企业都向安全防护投入了更多人力和资源，如何高效、有效地排定这些工作的优先顺序变得非常重要。如果漏洞管理计划采纳了过于笼统、不准确的风险数据，那么就有可能某些漏洞的优先级被定得过高或过低，以及重大问题长期得不到解决。

基于风险的漏洞管理（RBVM）是一种更为新颖的方法，旨在根据对特定企业或机构的威胁风险来确定行动的优先级。RBVM 会考虑特定于利益相关者的漏洞数据，例如威胁情报、漏洞利用概率以及受影响资产的业务重要性等。也可以在其中纳入人工智能和机器学习能力，继续开发更为准确的风险评分。此外，RBVM 也力求通过持续且自动的漏洞扫描来实时监测漏洞。

漏洞评估是对 IT 系统的安全防护措施进行检查，以确定其中存在的安全缺陷。它包括收集有关系统及其资源的数据，检查是否存在已知的漏洞，以及报告按活跃程度分类的发现结果和确定的改进方法等。您可以把漏洞评估想象成对所有基础架构进行内部审计和排查，以检查是否存在安全问题。虽然漏洞评估可以纳入常规流程，但本质上来说，它算是一种一次性活动，会以一份反映特定时间点状况的快照报告作为结束。

与之相反，漏洞管理是一项持续性工作，以自动化方式不断地执行。漏洞管理的功能是持续、重叠而不间断的。这样，团队就能尽早、快速地应对关键漏洞，提升安全性。

作为开源软件领导者，红帽始终秉持公开透明的态度，坚持为客户和社区负责。红帽经常参与业界的漏洞议题交流，并于 2022 年成为 CVE 计划中的核心（Root）成员。

此外，红帽也协助广大企业或机构更安全地构建、部署和运行云原生应用。了解如何利用红帽 Kubernetes 高级集群安全防护来更好地检测和管理 Kubernetes 环境中的漏洞。