漏洞例外
所有已发现的漏洞都会出现在安全控制台Web界面的漏洞表中。您的组织可以排除某些漏洞出现在报告中或影响风险分数。
理解排除漏洞的案例
有几种可能的原因是从报告中排除漏洞。
补偿管制:网络管理人员可能会降低某些漏洞的安全风险,从而在技术上,可以阻止其组织符合PCI。在某些情况下从报告中排除这些漏洞可能是可以接受的。例如,应用程序可能会在防火墙后面的资产上发现易受攻击的服务,因为它已通过防火墙获取访问权限。虽然这种漏洞可能导致资产或网站未能审计,但商人可能会争辩,防火墙在正常情况下降低任何真正的风险。另外,该网络可能具有基于托管或网络的入侵防御系统,进一步降低风险。
可接受的使用:组织可能对应用程序将作为漏洞解释的某些实践具有合法用途。例如,匿名FTP访问可能是刻意的实践而不是漏洞。
可接受的风险:在某些情况下,如果漏洞造成的安全风险较低,且修复成本过高或需要付出太多努力,则最好不要修复漏洞。例如,针对某个漏洞应用特定补丁可能会导致应用程序无法正常运行。重新设计应用程序以在修补过的系统上工作可能需要太多的时间、金钱或其他资源,尤其是在漏洞造成的风险很小的情况下。
假阳性:根据PCI标准,商家应该能够报告一个假阳性,然后通过PCI审核中的合格安全评估员(QSA)或批准的扫描供应商(ASV)验证和接受。以下是从审计报告中排除误报的情况。在所有情况下,QSA或ASV需要批准异常。
反向移植可能导致误报。例如,安装在较旧的Red Hat服务器上的Apache更新可能产生应作为误报排除的漏洞。
如果利用在一个或多个资产上报告假阳性,则会排除这些结果是合适的。
为了遵守联邦法规,比如萨班斯-奥克斯利法案(Sarbanes-Oxley Act, SOX),记录漏洞例外的细节通常是非常重要的,比如请求和批准例外的人员、相关日期和有关例外的信息。
了解漏洞异常权限
您使用漏洞异常的功能取决于您的权限。如果您现在不知道您的权限是什么,请咨询您的全球管理员。
三个权限与漏洞异常工作流相关联:
- 提交漏洞异常:具有此权限的用户可以提交从报告中排除漏洞的请求。
- 检查漏洞异常:具有此权限的用户可以批准或拒绝从报告中排除漏洞的请求。
- 删除漏洞异常:具有该权限的用户可以删除漏洞异常和异常请求。此权限非常重要,因为它是推翻漏洞请求批准的唯一方法。从这个意义上说,拥有该权限的用户可以对拥有审查请求权限的用户进行检查和平衡。
了解漏洞异常状态和工作流程
每个漏洞都具有异常状态,包括从未被考虑过异常的漏洞。您可以参与异常的操作范围取决于例外状态,以及您的权限,如下表所示:
如果漏洞具有以下异常状态...... |
......你有以下许可...... |
...你可以采取以下行动: |
---|---|---|
从未因例外而提交 |
提交异常请求 |
提交异常请求 |
以前批准并稍后删除或过期 |
提交异常请求 |
提交异常请求 |
正在审核(提交,但未批准或拒绝) |
查看漏洞例外情况 |
批准或拒绝请求 |
排除了其他实例、资产或站点 |
提交异常请求 |
提交异常请求 |
正在审查(并由您提交) |
回想一下 |
|
正在审核(提交,但未批准或拒绝) |
删除漏洞例外 |
删除请求 |
得到正式认可的 |
查看漏洞例外情况 |
查看和更改审批的细节,但不推翻审批 |
拒绝了 |
提交异常请求 |
提交另一个例外请求 |
批准或拒绝 |
删除漏洞例外 |
删除异常,从而推翻批准 |
了解异常范围的不同选项
在某个资产上可能会发现一次或多次漏洞。该漏洞还可能在数百个资产上被发现。在提交漏洞异常请求之前,请检查已经发现了多少漏洞实例以及有多少资产受到影响。了解每个受影响资产周围的环境也很重要。在提交请求时,你可以使用以下选项之一来控制异常的范围:
- 您可以创建一个例外所有实例所有受影响资产的脆弱性。例如,您可能有许多与开放的SSH端口相关的漏洞实例。但是,如果在所有实例中都有补偿控制(如防火墙),则可能希望全局排除该漏洞。
- 您可以创建一个例外所有网站中的漏洞的所有实例.与全局例外一样,站点特定排除的典型原因是补偿控制,例如站点的所有资产位于防火墙后面。
请注意
此异常选项仅在以下情况下可用资产链接被禁用。
- 您可以创建一个例外所有资产上漏洞的所有实例.例如,受特定漏洞影响的资产之一可以位于DMZ中。或者可能只为特定目的而在非常有限的时间内运行,使其不太敏感。
- 您可以创建一个例外所有资产集团漏洞的所有实例.例如,包含未连接到互联网的计算机的资产组可以被排除,因为它们易于入侵。
- 可以为漏洞的单一实例.例如,可以在服务器上的每个端口上发现漏洞。但是,其中一个端口在防火墙后面。您可能希望排除影响受保护端口的漏洞实例。
提交或重新提交针对全局漏洞异常的请求
全局漏洞异常意味着应用程序不会在您的环境中报告具有漏洞的环境中的任何资产的漏洞。只有全局管理员只能批准全局漏洞异常的请求。不是管理员但具有正确帐户权限的用户可以批准不全局的漏洞异常。
定位您想要请求异常的漏洞。有几种方法可以定位到漏洞。以下方式对于全局异常最简单。
- 单击漏洞安全控制台Web界面图标。控制台显示漏洞页面。
- 定位漏洞在漏洞表格
创建并提交例外请求。
- 看一下异常列为所定位的漏洞。本专栏显示了几种可能的操作之一。如果以前没有为该漏洞提交了异常请求,则列显示该列排除图标。如果已提交然后拒绝,则列显示一个重新提交图标。
- 单击图标。
提示:如果漏洞具有除此之外的动作图标排除, 看了解漏洞异常权限.
一种漏洞异常将出现对话框。如果先前提交并拒绝了异常请求,请阅读拒绝的拒绝和用户名的显示原因。这有助于跟踪对处理此漏洞处理的先前决策。
- 选择所有实例如果尚未从中显示范围下拉列表。
- 从下拉列表中选择异常的原因。有关例外原因的信息,请参阅理解排除漏洞的案例.
- 输入额外的评论。这些对审稿人理解你提出请求的原因特别有帮助。
如果您选择其他从下拉列表中是一个原因,需要额外的评论。
- 要创建过期日期,请选择选择日期来自到期下拉列表。指定日期,或使用日历选择日期。
- 点击提交和批准使例外生效。
- (可选)单击提交在审核下放置例外,并在您的组织中审核另一个人。
只有全局管理员只能批准全局漏洞异常。
验证异常(如果你提交了)和批准)。
批准异常后,漏洞不再出现在列表中漏洞页面。
- 单击行政图标。
控制台显示行政页面。2.单击管理链接脆弱性例外.3.中的异常脆弱性例外清单表格
在特定站点上提交或重新提交漏洞的所有实例的异常请求
如果在2015年4月8日,产品更新之后启用了在所有站点上链接匹配资产的选项,则无法使用此Web界面功能来排除站点中的漏洞后启用链接选项。在启用选项之前在Web界面中创建的站点级别异常将继续申请。看在网站上联系资产.您可以使用API在站点级别排除漏洞。请参阅API指南。
扫描页面中的漏洞信息特定于该特定扫描实例。创建异常的能力在更累计的级别中可用,例如站点或漏洞列表,以便在将来扫描中排除漏洞。
定位您想要请求异常的漏洞。有几种方法可以定位到漏洞。以下方式对于特定于站点的异常最简单:
- 如果要查找特定漏洞,请单击此处漏洞安全控制台Web界面图标。安全控制台显示漏洞页面。
- 定位漏洞在漏洞表,然后单击链接。
- 在特定的站点中查找要为其排除漏洞实例的资产影响漏洞细节的表。
或
- 如果要查看不同站点中资产的漏洞是什么,请单击“资产图标。安全控制台显示资产页面。
- 单击该选项可按站点查看资产。安全控制台显示网站页面。
- 单击要查看漏洞的站点。安全控制台显示所选站点的页面。
- 单击资产资产上市表格安全控制台显示所选资产的页面。
- 找到要排除的漏洞漏洞表格,并单击链接。
创建并提交一个单独的异常请求。
- 看一下异常列为所定位的漏洞。如果以前没有为该漏洞提交了异常请求,则列显示该列排除图标。如果已提交然后拒绝,则列显示一个重新提交图标。
- 单击排除图标。
如果漏洞的操作链接不是排除, 看理解排除漏洞的案例.
一种漏洞异常将出现对话框。如果先前提交并拒绝了异常请求,请阅读拒绝的拒绝和用户名的显示原因。这有助于跟踪对处理此漏洞处理的先前决策。
- 选择所有实例在这个网站上范围下拉列表。
- 从下拉列表中选择异常的原因。有关例外原因的信息,请参阅理解排除漏洞的案例.
- 输入额外的评论。这些对审稿人理解你提出请求的原因特别有帮助。如果您选择其他从下拉列表中是一个原因,需要额外的评论。
- 要创建过期日期,请选择选择日期来自到期下拉列表。指定日期,或使用日历选择日期。
- 点击提交和批准使例外生效。
- 点击提交在审核下放置例外,并在您的组织中审核另一个人。
在特定资产上提交或重新提交所有实例的异常请求
定位您想要请求异常的漏洞。有几种方法可以定位到漏洞。对于特定于资产的异常,下面的方法是最简单的。
- 如果要查找特定漏洞,请单击此处漏洞安全控制台Web界面图标。安全控制台显示漏洞页面。
- 定位漏洞在漏洞表,然后单击链接。
- 单击资产的链接,该资产包含您想要在影响漏洞细节的表。
- 在受影响资产的详细信息页面中,找到漏洞漏洞表格,并单击链接。
或
- 如果希望查看使用不同分组类别找到的特定资产受到哪些漏洞的影响,请单击资产图标。安全控制台显示资产页面。
- 根据不同的分组类别选择要查看资产的选项之一:它们所属的站点,它们所属的资产组,托管操作系统,托管软件或托管服务。或单击链接以查看所有资产。
- 根据您选择的类别,单击显示的子类别,直到找到您正在搜索的资产。看定位和与资产合作.安全控制台显示所选资产的页面。
- 找到要排除的漏洞漏洞表格,并单击链接。
创建并提交单个异常请求。
如果漏洞的操作链接不是排除, 看了解漏洞异常状态和工作流程.
- 看一下异常列为所定位的漏洞。本专栏显示了几种可能的操作之一。如果以前没有为该漏洞提交了异常请求,则列显示该列排除图标。如果已提交然后拒绝,则列显示一个重新提交图标。
- 单击图标。一种漏洞异常将出现对话框。如果先前提交并拒绝了异常请求,请阅读拒绝的拒绝和用户名的显示原因。这有助于跟踪对处理此漏洞处理的先前决策。
- 选择所有实例在这笔资产范围下拉列表。
如果您选择其他从下拉列表中是一个原因,需要额外的评论。
- 输入额外的评论。这些对审稿人理解你提出请求的原因特别有帮助。
- 要创建过期日期,请选择选择日期来自到期下拉列表。指定日期,或使用日历选择日期。
- 点击提交和批准使例外生效。
- (可选的) 点击提交在审核下放置例外,并在您的组织中审核另一个人。
创建和提交(或重新提交)多个同时异常请求。如果要排除大量漏洞,则此过程非常有用,因为例如,它们都具有相同的补偿控制。
- 在去了漏洞表,选择要排除的每个漏洞的行。或选择表中显示的所有漏洞,单击顶行中的复选框。然后选择弹出窗口选项选择可见.
- 点击排除对于尚未提交例外的漏洞,或单击重新提交被拒绝作为例外的弱点。
- 按照上一节所述的漏洞例外工作流继续执行。
如果您正在重新提交多个漏洞异常请求,则使用现有的日期过期日期的选项允许您在例外保留任何先前设置的日期。
如果您选择了多个漏洞,但随后想要取消选择,请单击顶部行。然后选择弹出窗口选项清除所有.
如果选择所有列出的排除漏洞,它只适用于未排除的漏洞。例如,如果是漏洞表中包括正在审查或被拒绝的漏洞,全局排除将不适用于这些漏洞。这同样适用于全局重新提交:它只适用于列出的已被拒绝排除的漏洞。
验证例外(如果您提交并批准了)。批准异常后,漏洞不再出现在列表中漏洞页面。
- 单击行政图标。安全控制台显示行政页面。
- 单击管理链接脆弱性例外.
- 中的异常脆弱性例外清单表格
对资产组中的所有漏洞的所有实例提交或重新提交异常请求
定位您想要请求异常的漏洞。有几种方法可以定位到漏洞。对于特定于资产组的异常,下面的方法是最简单的。
安全控制台将不允许包含一个或多个指定属性的动态资产组出现漏洞异常:CVE ID,漏洞标题,有效漏洞,漏洞暴露,资产风险评分,漏洞CVSS评分,PCI合规状态,CVSS访问复杂性(AC), CVSS访问向量(AV), CVSS认证(Au), CVSS可用性影响(A), CVSS机密性影响(C), CVSS完整性影响(I),和/或漏洞类别。
- 如果要查找特定漏洞,请单击此处漏洞安全控制台Web界面图标。安全控制台显示漏洞页面。
- 在里面脆弱性清单表,展开部分到应用过滤器.
- 选择资产组名称从下拉列表中。
- 为筛选器选择一个操作符。
- 根据操作员选择一个资产组。
- 您可以使用多个过滤器来缩小搜索范围。使用+按钮添加过滤器。重复用于选择过滤器,运算符和值的步骤。使用 - 按钮删除过滤器。
- 点击过滤器.安全控制台显示满足的漏洞全部表中的过滤条件。
- 定位漏洞在漏洞表格
创建并提交一个异常请求
- 看一下异常列为所定位的漏洞。如果以前没有为该漏洞提交了异常请求,则列显示该列排除图标。如果已提交然后拒绝,则列显示一个重新提交图标。
- 单击排除图标。
如果漏洞的操作链接不是排除, 看理解排除漏洞的案例.
一种漏洞异常将出现对话框。如果先前提交并拒绝了异常请求,请阅读拒绝的拒绝和用户名的显示原因。这有助于跟踪对处理此漏洞处理的先前决策。
- 选择所有实例的选定资产组中范围下拉列表。
- 从中选择资产组名称资产群体列表。
- 从下拉列表中选择异常的原因。有关例外原因的信息,请参阅理解排除漏洞的案例.
- 输入额外的评论。这些对审稿人理解你提出请求的原因特别有帮助。
如果您选择其他从下拉列表中是一个原因,需要额外的评论。
- 要创建过期日期,请选择选择日期来自到期下拉列表。指定日期,或使用日历选择日期。
- 点击提交和批准使例外生效。
- 点击提交在审核下放置例外,并在您的组织中审核另一个人。
提交或重新提交一个例外请求,了解漏洞的单个实例
当您为漏洞的单个实例创建异常时,如果如果设备,端口和其他数据匹配,则该应用程序将不会报告对资产的漏洞。
找到要申请异常的漏洞的实例。有几种方法可以定位到漏洞。对于特定于站点的异常,以下方式最简单。
- 单击漏洞安全控制台Web界面的图标。
- 定位漏洞在漏洞表上的漏洞页面,然后单击链接。
- 的中找到受影响的资产影响漏洞的详细信息页面上的表。
- (可选的)点击资产图标,并使用其中一个显示的选项来查找资产上的漏洞。看定位和与资产合作.
- 定位漏洞在漏洞资产页面上的表,然后单击链接。
创建并提交单个异常请求。
如果漏洞的操作链接不是排除, 看了解漏洞异常状态和工作流程.
- 看一下异常列为所定位的漏洞。本专栏显示了几种可能的操作之一。如果以前没有为该漏洞提交了异常请求,则列显示该列排除图标。如果已提交然后拒绝,则列显示一个重新提交图标。
- 单击图标。一种漏洞异常将出现对话框。如果先前提交并拒绝了异常请求,则可以在框顶部的注释中查看拒绝的原因和审阅者的用户名。从下拉列表中选择请求异常的原因。有关例外原因的信息,请参阅理解排除漏洞的案例.
- 选择此资产的特定实例来自范围下拉列表。如果您选择其他从下拉列表中是一个原因,需要额外的评论。
- 输入额外的评论。这些对审稿人理解你提出请求的原因特别有帮助。
- 要创建过期日期,请选择选择日期从下拉列表中的到期。指定日期,或使用日历选择日期。
- 点击提交和批准使例外生效。
- (可选)单击提交在审核下放置例外,并在您的组织中审核另一个人。
重新提交多个同步异常请求。如果要排除大量漏洞,则此过程非常有用,因为例如,它们都具有相同的补偿控制。
- 在去了漏洞表,选择要排除的每个漏洞的行。或
- 要选择表中显示的所有漏洞,请单击顶行中的复选框。然后选择弹出窗口选项选择可见.
- 点击排除对于尚未提交例外的漏洞,或单击重新提交被拒绝作为例外的弱点。
- 按照上一节所述的漏洞例外工作流继续执行。如果您选择了多个漏洞,但随后想要取消选择,请单击顶部行。然后选择弹出窗口选项清除所有.
如果选择所有列出的排除漏洞,它只适用于未排除的漏洞。例如,如果是漏洞表中包括正在审查或被拒绝的漏洞,全局排除将不适用于这些漏洞。这同样适用于全局重新提交:它只适用于列出的已被拒绝排除的漏洞。
验证例外(如果您提交并批准了)。批准异常后,漏洞不再出现在列表中漏洞页面。
- 单击行政图标。控制台显示行政页面。
- 单击管理链接脆弱性例外.
- 中的异常脆弱性例外清单表格
回顾您提交的例外请求
如果其状态仍在审查,您可以记住或取消,或取消漏洞的异常请求。
找到异常请求,并验证其仍在审核。该位置取决于异常的范围。例如,如果异常用于单个资产上的漏洞的所有实例,则查找该资产影响漏洞的详细信息页面上的表。如果例外列中的链接是正在审查,你可以回忆起它。
回忆单个请求。
- 单击正在审查链接。
- 点击回忆在里面漏洞异常对话框。的链接异常列更改为排除.
回想一下多个同时发生的异常请求。
如果您希望收回大量请求,则此过程非常有用,因为您已经了解到,自从您提交了这些请求之后,就有必要将它们包含在报告中。
- 在按照上一节中描述的方法定位异常请求之后,选择您想要排除的每个漏洞的行。或
- 要选择表中显示的所有漏洞,请单击顶行中的复选框。然后选择弹出窗口选项选择可见.
- 点击回忆.
- 如前一节所述的召回工作流程进行。如果您选择了多个漏洞,但随后想要取消选择,请单击顶部行。然后选择弹出窗口选项清除所有.
如果您选择召回的所有列出的漏洞,它只适用于正在审核的漏洞。例如,如果是漏洞表包括未被排除的漏洞,或被拒绝排除,全局召回不会适用于它们。
检查异常请求
在查看漏洞异常请求后,您可以批准或拒绝它。
- 找到异常请求。
- 单击行政安全控制台Web界面的图标。
- 在行政页面,点击管理链接旁边脆弱性例外.
- 在脆弱性例外清单表格要选择多个请求进行审查,请选择每一行。或者,要选择所有请求进行审查,请选择顶部行。如果您知道,例如,您希望基于相同的原因接受或拒绝多个请求,那么选择多个请求是很有用的。
查看请求。
- 单击正在审查链接审核状态列。
- 阅读提交请求的用户并决定是否批准或拒绝请求的评论。
- 在“Reviewer’s comments”文本框中输入注释。这样做可能对提交者有帮助。如果要为评审决定选择过期日期,请单击日历图标并选择日期。例如,您可能希望异常只在PCI审计完成之前有效。
您还可以单击最上面的行复选框来选择所有请求,然后一次性批准或拒绝它们。
- 点击批准或者拒绝,取决于您的决定。审查结果出现在审核状态列。
删除漏洞异常或异常请求
删除异常是覆盖已批准请求的唯一方法。
找到异常或例外请求。
- 单击行政安全控制台Web界面的图标。控制台显示行政页面。
- 单击管理链接旁边脆弱性例外.
- 在脆弱性例外清单表格要选择多个删除请求,请选择每一行。或者,要选择所有要删除的请求,请选择顶部行。
删除请求。
- 单击删除图标。条目(IE)不再出现在脆弱性例外清单表格受影响的漏洞显示在适当的漏洞列表中排除图标,这意味着具有适当权限的用户可以为其提交异常请求。
查看报告卡报告中的漏洞异常
当您基于默认的report Card模板生成报告时,每个漏洞例外都会出现在漏洞列表中,并说明其例外的原因。
漏洞异常如何以XML和CSV格式出现
漏洞例外对于补救项目的优先次序和遵从性审计可能很重要。报告模板包括一个专门用于异常的部分。参见[脆弱性例外)。在XML和CSV报告中,异常信息也可用。
XML:漏洞测试状态属性设置为以下漏洞的以下值之一,由于异常,抑制抑制:
Exception - vulnerability -exploit -异常抑制被利用的漏洞
Exception - vulnerability -version -异常抑制版本检查漏洞
异常 - 易受伤害 - 潜在 - 异常抑制潜在漏洞
CSV.对于由于异常而被抑制的漏洞,漏洞结果代码列将被设置为以下值之一。每个代码对应于漏洞检查的结果:
每个代码对应于漏洞检查的结果:
- DS.(略过,已禁用):未执行检查,因为在扫描模板中已禁用检查。
- EE.(被排除在外,已被剥削):除以剥削漏洞的支票被排除在外。
- ep.(被排除在外的):检查潜在漏洞的检查被排除在外。
- 呃(error during check):漏洞检查时出错。
- EV.(不包括,版本检查):排除了支票。它是一种可以识别的漏洞,因为扫描服务或应用程序的版本与已知的漏洞相关联。
- n(没有测试):没有检查核查。
- NV.(不脆弱):检查是负面的。
- OV.(覆盖,版本检查):对漏洞的检查通常为正,因为目标服务或应用程序的版本与已知漏洞相关联,而由于其他检查的信息为负。
- sdsd(因为DoS设置而跳过)—如果扫描模板中没有启用不安全的检查,应用程序将跳过该检查,因为存在导致拒绝服务(DoS)的风险。看漏洞检查设置的配置步骤.
- sv(因版本不适用而略过):由于扫描项的版本不在检查列表中,应用程序没有执行检查。
- 英国(未知):内部问题阻止了应用程序报告扫描结果。
- 已经(脆弱,被利用):检查是阳性的。一个漏洞验证了该漏洞。
- 副总裁(vulnerable, potential):对潜在漏洞的检查为正。
- vv(vulnerable, version check):检查为阳性。被扫描的服务或软件的版本与已知的漏洞相关联。