了解报告内容

报告包含大量的信息。为了更好地理解它们,仔细研究它们是很重要的,这样它们就可以帮助您做出更明智的安全相关决策。

报表中的数据是时间上的静态快照。Web界面中显示的数据会随着每次扫描而改变。两者之间的差异,例如发现的资产或漏洞的数量,很可能是由于自上次报告以来您的环境的变化造成的。

对于组织中需要新数据但无法访问Web界面的涉众,请更频繁地运行报告。或者使用报表调度特性自动同步报表调度和扫描调度。

在不断变化的环境中,基线比较报告非常有用。

如果您的报告数据与您预期的有很大的不同,请考虑几个可能使数据发生偏差的因素。

扫描设置会影响报表数据

扫描设置通过以下几种方式影响报表数据:

  • 缺乏凭证:如果报告中缺少某些信息,如已发现的文件、爬行Web站点或策略评估,请检查扫描是否配置了正确的登录信息。如果不能像普通用户那样登录到目标系统,应用程序就不能执行许多检查。
  • 策略检查未启用:策略设置可能未出现在报告中的另一个原因是扫描模板中未启用策略检查。
  • 仅发现模板:如果报告中没有漏洞数据,请检查扫描是否使用仅发现扫描模板进行,该模板不检查漏洞。
  • 启用或禁用某些漏洞检查:如果报告显示的漏洞超出预期,请检查扫描模板,以查看启用或禁用了哪些检查。
  • 未启用不安全检查:如果报告显示由于拒绝服务(DOS)设置而跳过检查,如CSV报告中的sd结果代码,则扫描模板中未启用不安全检查。
  • 手动扫描:在异常情况下对站点进行手动扫描会影响报表。例如,一个只包含最近扫描数据的自动调度报告与一个具有自动调度扫描的特定的多资产站点相关。用户手动扫描单个资产以验证补丁更新。该报告可能包括该扫描数据,仅显示一个资产,因为它来自最近的扫描。

不同的报表格式会影响报表数据

如果您使用多种格式传播报告,请记住,不同的格式不仅会影响数据的呈现方式,还会影响数据的呈现内容。人类可读的格式,如PDF和HTML,旨在显示由文档报告模板组织的数据。这些模板对要包含的数据更有“选择性”。另一方面,XML Export、XML Export 2.0、CSV和导出模板基本上包含了所有可能的扫描数据。

理解如何根据确定性对漏洞进行描述

修复已确认的漏洞是一个高安全优先级,因此在报告中查找已确认的漏洞非常重要。但是,不要被潜在的或未经证实的漏洞列表所抛弃。不要认为这些是假阳性。

如果应用程序发现某些可能存在漏洞的条件,它将标记漏洞。如果,由于任何原因,它不能绝对地验证该漏洞的存在,它将把该漏洞列为潜在的或未确认的。或者它可能表明被扫描的操作系统或应用程序的版本是脆弱的。

一个漏洞是“潜在的”漏洞或未经正式确认的事实并不会降低它存在的可能性,也不会降低某些相关安全问题需要您关注的可能性。您可以通过运行可利用的漏洞来确认漏洞。看到使用漏洞.您还可以检查扫描日志,以确定一个潜在的易受攻击的项目被指纹识别了。指纹的确定性越高,漏洞出现的可能性就越大。

如何找出漏洞的确定性特征

你可以找出不同地区报告的漏洞的确定程度:

  • PCI审计报告包括一个列出每个漏洞状态的表。状态是指确定性特征,如已被利用的、潜在的或脆弱的版本。
  • Report Card报告在其中一个表中包含一个类似的状态列,它还列出了关于应用程序对每个资产上的每个漏洞执行的测试的信息。
  • XML Export和XML Export 2.0报告包括一个称为测试状态的属性,其中包括确定性特征,如漏洞利用和非漏洞利用。
  • CSV报告包含与确定性特征相关的结果代码。
  • 如果您可以访问Web界面,则可以在列出漏洞详细信息的页面上查看漏洞的确定性特征。

注意,出现在审计报告中的“已发现的和潜在的漏洞”部分,潜在的和已确认的漏洞没有区别。

展望未来的漏洞

在审查报告时,要超越漏洞,寻找其他可能使您的网络处于风险的迹象。例如,应用程序可能发现telnet服务并在报告中列出它。telnet服务不是一个漏洞。但是,telnet是一种未加密的协议。如果网络上的服务器使用此协议与远程计算机交换信息,那么不请自来的一方很容易监视传输。您可能需要考虑使用SSH。

在另一个例子中,它可能会发现一个Cisco设备允许Web请求访问HTTP服务器,而不是重定向到HTTPS服务器。同样,从技术上讲,这不是一个漏洞,但这种做法可能会暴露敏感数据。

研究报告,帮助您主动管理风险。

使用报告数据确定补救措施的优先级

报告中的一长串漏洞可能是令人生畏的景象,您可能想知道应该首先处理哪个问题。漏洞数据库包含对超过12,000个漏洞的检查,您的扫描可能会显示出更多漏洞,而您没有时间纠正这些漏洞。

确定漏洞优先级的一种有效方法是注意哪些漏洞具有与之相关的实际漏洞。已知的漏洞会给您的网络带来非常具体的风险。Exploit exposurem特征是标记已知的利用漏洞,并提供到Metasploit模块和利用数据库的利用信息链接。它还使用来自Metasploit团队的漏洞排名数据来对给定漏洞所需的技能级别进行排名。此信息显示在安全控制台Web界面的漏洞列表中,因此您可以立即看到

由于您无法预测攻击者的技能级别,因此强烈建议立即补救任何存在实时攻击的漏洞,无论攻击所需的技能级别或已知攻击的数量如何。

报表创建设置会影响报表数据

报表设置可以通过多种方式影响报表数据:

  • 使用最近的扫描数据:如果不再使用的旧资产仍然出现在报告中,如果不希望这样,请确保启用标记的复选框仅使用上次扫描数据
  • 报告计划与扫描计划不同步:如果报告显示漏洞数量没有变化,尽管自生成上一个报告以来您已经执行了实质性的补救,请根据扫描计划检查报告计划。如果要显示补丁验证,请确保自动生成报告以跟踪扫描。
  • 不包括资产:如果一个报告没有显示预期的资产数据,检查报告配置,看看哪些站点和资产被包括了,哪些被省略了。
  • 未包含的漏洞:如果报告没有显示预期的漏洞,请检查报告中已过滤的漏洞的配置。在范围部分的创建一个报告面板中,单击基于漏洞过滤报告范围并验证过滤器是否适当设置,以包含所需的类别和严重性级别。

根据风险评分确定优先级

另一种对漏洞进行优先排序的方法是根据它们的风险评分。分数越高,优先级越高。

应用程序计算它在扫描期间发现的每个资产和漏洞的风险分数。评分根据漏洞的影响和被利用的可能性,表明该漏洞对网络和业务安全构成的潜在危险。

根据不同的风险策略计算风险评分。看到利用风险策略分析威胁