脆弱性例外

所有发现的漏洞都会出现在安全控制台Web界面的漏洞表中。您的组织可以排除某些漏洞出现在报告中或影响风险分数。

了解排除漏洞的案例

有几种可能的原因是从报告中排除漏洞。

补偿性控制:网络管理人员可能会降低某些漏洞的安全风险,从而可以防止其组织符合PCI。在某些情况下从报告中排除这些漏洞可能是可以接受的。例如,该应用程序可能会在防火墙后面的资产上发现易受攻击的服务,因为它已通过防火墙授权访问。虽然这种漏洞可能导致资产或网站未能审计,但商家可能会争辩说防火墙在正常情况下降低任何真正的风险。另外,该网络可能具有基于托管或网络的入侵防御系统,进一步降低风险。

可接受用途:组织可能合法使用应用程序将解释为漏洞的某些做法。例如,匿名FTP访问可能是故意的,而不是漏洞。

可接受的风险:在某些情况下,如果漏洞构成低安全风险,如果修复过昂或需要太多的努力,则可能最好不要修复漏洞。例如,为漏洞应用特定修补程序可能会阻止应用程序运行。重新设计应用程序在修补系统上工作可能需要太多的时间,金钱或其他资源来证明,特别是如果漏洞会带来最小的风险。

假阳性:根据PCI标准,商家应该能够报告一个假阳性,然后可以通过PCI审核中的合格安全评估员(QSA)或批准的扫描供应商(ASV)验证和接受。以下是从审计报告中排除误报的情况。在所有情况下,QSA或ASV需要批准异常。

回到物可能导致误报。例如,旧的Red Hat Server上安装的Apache更新可能会产生漏洞,该漏洞应被排除为误报。

如果利用在一个或多个资产上报告误报,则会排除这些结果是合适的。

为了遵守联邦法规,如萨班斯 - 奥克斯利法案(SOX),记录漏洞异常的细节通常很重要,例如参与请求和批准例外,相关日期和信息的人员关于例外。

了解漏洞异常权限

您处理漏洞异常的能力取决于您的权限。如果您现在不知道您的权限是什么,请咨询全局管理员。

三个权限与漏洞异常工作流相关联:

  • 提交漏洞异常:具有此权限的用户可以提交从报告中排除漏洞的请求。
  • 检查漏洞异常:具有此权限的用户可以批准或拒绝从报告中排除漏洞的请求。
  • 删除漏洞例外:具有此权限的用户可以删除漏洞异常和异常请求。此权限是显着的,因为它是推翻漏洞请求批准的唯一方法。从这个意义上讲,具有此权限的用户可以挥动检查和平衡,对具有允许审查请求的用户。

了解漏洞异常状态和工作流程

每个漏洞都具有异常状态,包括从未考虑过异常的漏洞。与例外相关的操作范围取决于例外状态,以及您的权限,如下表所示:

如果漏洞具有以下异常状态......

...你有以下的许可…

…您可以采取以下操作:

从未提交过例外情况

提交异常请求

提交异常请求

先前批准,后来删除或过期

提交异常请求

提交异常请求

审核中(已提交,但未批准或拒绝)

评估脆弱性例外

批准或拒绝请求

排除在其他实例、资产或站点之外

提交异常请求

提交异常请求

正在审查(并由您提交)

回想一下例外

审核中(已提交,但未批准或拒绝)

删除异常脆弱

删除请求

得到正式认可的

评估脆弱性例外

查看和更改批准的详细信息,但未推翻批准

拒绝了

提交异常请求

提交另一个例外请求

批准或拒绝

删除异常脆弱

删除例外,从而推翻批准

理解异常作用域的不同选项

可以在某种资产上发现一次或多次漏洞。还可以在数百个资产上发现该漏洞。在提交漏洞异常请求之前,请查看已发现漏洞的许多实例以及影响了多少资产。了解每个受影响资产的情况也很重要。您可以在提交请求时使用以下选项之一来控制异常的范围:

  • 您可以创建一个例外所有实例所有受影响资产的脆弱性。例如,您可能有许多与开放的SSH端口相关的漏洞实例。但是,如果在所有实例中都有补偿控制(如防火墙),则可能希望全局排除该漏洞。
  • 您可以创建一个例外站点中漏洞的所有实例.与全局异常一样,站点特定排除的一个典型原因是补偿控制,例如位于防火墙后的站点的所有资产。

笔记

此异常选项仅在以下情况下可用资产链接它是残疾的。

  • 您可以创建一个例外单个资产上的所有漏洞实例.例如,受特定漏洞影响的资产之一可能位于DMZ中。或者,它可能只为了特定的目的运行非常有限的时间,使其不那么敏感。
  • 您可以创建一个例外所有资产组漏洞的所有实例.例如,包含未连接到互联网的机器的资产组可能被排除在外,因为它们不太容易受到入侵。
  • 您可以为a创建异常漏洞的单个实例.例如,可以在服务器上的每个端口上发现漏洞。但是,其中一个端口在防火墙后面。您可能希望排除影响受保护端口的漏洞实例。

提交或重新提交对全局漏洞异常的请求

全局漏洞异常意味着应用程序将不会在您的环境中具有该漏洞的任何资产上报告该漏洞。只有全局管理员可以批准针对全局漏洞异常的请求。不是管理员但具有正确帐户权限的用户可以批准不是全局的漏洞异常。

定位您想要请求异常的漏洞。有几种方法可以定位到漏洞。对于全局例外,以下方式最简单。

  1. 单击漏洞安全控制台Web界面的图标。控制台显示漏洞页面。
  2. 在中找到该漏洞漏洞表格

创建并提交例外请求。

  1. 看着那(这异常列为所定位的漏洞。本专栏显示了几种可能的操作之一。如果以前没有提交过漏洞的异常请求,则列显示该列排除图标。如果提交后被拒绝,列将显示一个重新提交图标。
  2. 单击图标。

提示:如果漏洞具有除此之外的动作图标排除, 看了解漏洞异常权限

一种漏洞异常对话框出现了。如果先前提交并拒绝了异常请求,请阅读拒绝的拒绝和用户名的显示原因。这有助于跟踪对处理此漏洞的处理。

  1. 选择所有实例如果它尚未从中显示范围下拉列表。
  2. 从下拉列表中选择异常的原因。有关异常原因的信息,请参见了解排除漏洞的案例
  3. 输入额外的评论。这些对审稿人理解你提出请求的原因特别有帮助。

如果您选择其他作为从下拉列表中的原因,需要额外的评论。

  1. 要创建过期日期,请选择选择日期到期下拉列表。指定日期,或使用日历选择日期。
  2. 点击提交和批准使例外生效。
  3. (可选)点击提交将例外放置在审核中,并在组织中审核另一个人。

只有全局管理员可以批准全局漏洞异常。

验证异常(如果您提交的话)批准)。

批准异常后,漏洞不再出现在列表中漏洞页面。

  1. 单击政府图标。

控制台显示政府页面。2.单击管理链接漏洞例外.3.中的异常漏洞异常列表表格

提交或重新提交特定站点上漏洞的所有实例的异常请求

如果您启用了2015年4月8日在所有站点上链接匹配资产的选项,则无法使用此Web界面功能来排除站点中的漏洞启用链接选项。在启用选项之前在Web界面中创建的站点级别异常将继续应用。看跨站点链接资产. 您可以使用API排除站点级别的漏洞。请参阅API指南。

扫描页面中的漏洞信息是特定于该特定扫描实例的。创建异常的能力可以在更累积的级别中使用,如站点或漏洞列表,以便在未来扫描时排除漏洞。

定位您想要请求异常的漏洞。有几种方法可以定位到漏洞。以下方式对于特定于站点的异常最简单:

  1. 如果要查找特定漏洞,请单击漏洞安全控制台Web界面的图标。安全控制台显示漏洞页面。
  2. 在中找到该漏洞漏洞表,并单击其链接。
  3. 在特定站点中查找要在中排除其漏洞实例的资产影响漏洞细节的表。

  1. 如果您想查看不同网站中资产的漏洞,请单击资产偶像安全控制台显示资产页面。
  2. 单击“选项”以按网站查看资产。安全控制台显示地点页面。
  3. 单击要查看漏洞的站点。安全控制台显示所选站点的页面。
  4. 单击中的资产资产上市表格安全控制台显示所选资产的页面。
  5. 找到要排除的漏洞漏洞表,然后单击该表的链接。

创建并提交个人异常请求。

  1. 看着那(这异常列为所定位的漏洞。如果以前没有提交过漏洞的异常请求,则列显示该列排除图标。如果提交后被拒绝,列将显示一个重新提交图标。
  2. 单击排除图标。

如果某个漏洞具有除排除, 看了解排除漏洞的案例

一种漏洞异常对话框出现了。如果先前提交并拒绝了异常请求,请阅读拒绝的拒绝和用户名的显示原因。这有助于跟踪对处理此漏洞的处理。

  1. 选择所有实例在这个网站上范围下拉列表。
  2. 从下拉列表中选择异常的原因。有关异常原因的信息,请参见了解排除漏洞的案例
  3. 输入额外的评论。这些对审稿人理解你提出请求的原因特别有帮助。如果您选择其他作为从下拉列表中的原因,需要额外的评论。
  4. 要创建过期日期,请选择选择日期到期下拉列表。指定日期,或使用日历选择日期。
  5. 点击提交和批准使例外生效。
  6. 点击提交将例外放置在审核中,并在组织中审核另一个人。

在特定资产上提交或重新提交所有实例的异常请求

定位您想要请求异常的漏洞。有几种方法可以定位到漏洞。对于特定于资产的异常,下面的方法是最简单的。

  1. 如果要查找特定漏洞,请单击漏洞安全控制台Web界面的图标。安全控制台显示漏洞页面。
  2. 在中找到该漏洞漏洞表,并单击其链接。
  3. 单击资产的链接,该资产包含您希望在应用程序中排除的漏洞实例影响漏洞细节的表。
  4. 在受影响资产的详细信息页面中,找到漏洞漏洞表,然后单击该表的链接。

  1. 如果要查看哪些漏洞影响使用不同分组类别找到的特定资产,请单击资产偶像安全控制台显示资产页面。
  2. 选择其中一个选项,可以根据不同的分组类别查看资产:它们属于的站点、它们属于的资产组、托管的操作系统、托管的软件或托管的服务。或单击链接查看所有资产。
  3. 根据您选择的类别,单击显示的子类别,直到找到您正在搜索的资产。看定位和使用资产.安全控制台显示所选资产的页面。
  4. 在中找到要排除的漏洞漏洞表,然后单击该表的链接。

创建并提交单个例外请求。

如果某个漏洞具有除排除, 看了解漏洞异常状态和工作流程

  1. 看着那(这异常列为所定位的漏洞。本专栏显示了几种可能的操作之一。如果以前没有提交过漏洞的异常请求,则列显示该列排除图标。如果提交后被拒绝,列将显示一个重新提交图标。
  2. 单击图标。A.漏洞异常对话框出现了。如果先前提交并拒绝了异常请求,请阅读拒绝的拒绝和用户名的显示原因。这有助于跟踪对处理此漏洞的处理。
  3. 选择所有实例在这笔资产范围下拉列表。

如果您选择其他作为从下拉列表中的原因,需要额外的评论。

  1. 输入额外的评论。这些对审稿人理解你提出请求的原因特别有帮助。
  2. 要创建过期日期,请选择选择日期到期下拉列表。指定日期,或使用日历选择日期。
  3. 点击提交和批准使例外生效。
  4. 可选的)点击提交将例外放置在审核中,并在组织中审核另一个人。

创建和提交(或重新提交)多个同时异常请求。如果要排除大量漏洞,则此过程非常有用,因为例如,它们都具有相同的补偿控制。

  1. 上完大学后漏洞如前一节所述,为要排除的每个漏洞选择行。或若要选中表格中显示的所有漏洞,请单击最上方的复选框。然后选择弹出窗口选项选择“可见”
  2. 点击排除对于尚未提交异常的漏洞,或单击重新提交对于被拒绝异常的漏洞。
  3. 继续如前一节所述的漏洞异常工作流程。

如果要重新提交多个漏洞的异常请求,则使用现有日期过期日期的选项允许您在例外保留任何先前设置的日期。

如果您选择了多个漏洞,但随后想要取消选择,请单击顶部行。然后选择弹出窗口选项清除所有

如果您选择所有列出的漏洞进行排除,它将只适用于尚未排除的漏洞。例如,如果漏洞表中包括正在审查或被拒绝的漏洞,全局排除将不适用于这些漏洞。这同样适用于全局重新提交:它只适用于列出的已被拒绝排除的漏洞。

验证异常(如果您提交并批准了)。批准异常后,漏洞不再出现在列表中漏洞页面。

  1. 单击政府偶像安全控制台显示政府页面。
  2. 单击管理链接漏洞例外
  3. 中的异常漏洞异常列表表格

提交或重新提交资产组中漏洞的所有实例的异常请求

定位您想要请求异常的漏洞。有几种方法可以定位到漏洞。对于特定于资产组的异常,下面的方法是最简单的。

安全控制台不允许在包含一个或多个指定的属性的动态资产组上允许漏洞异常:CVE ID,漏洞标题,验证漏洞,漏洞曝光,资产风险评分,漏洞CVSS分数,PCI合规性状态,CVSS访问复杂性(AC),CVSS访问向量(AV),CVSS身份验证(AU),CVSS可用性影响(A),CVSS机密性影响(C),CVSS完整性影响(i)和/或漏洞类别。

  1. 如果要查找特定漏洞,请单击漏洞安全控制台Web界面的图标。安全控制台显示漏洞页面。
  2. 漏洞列表表,展开部分应用过滤器
  3. 选择资产组名称从下拉列表中。
  4. 选择过滤器的操作符。
  5. 根据操作员选择一个资产组。
  6. 您可以使用多个过滤器来缩小搜索范围。使用+按钮添加过滤器。重复用于选择过滤器,运算符和值的步骤。使用 - 按钮删除过滤器。
  7. 点击筛选.安全控制台显示满足的漏洞全部的表中的筛选条件。
  8. 在中找到该漏洞漏洞表格

创建并提交异常请求

  1. 看着那(这异常列为所定位的漏洞。如果以前没有提交过漏洞的异常请求,则列显示该列排除图标。如果提交后被拒绝,列将显示一个重新提交图标。
  2. 单击排除图标。

如果某个漏洞具有除排除, 看了解排除漏洞的案例

一种漏洞异常对话框出现了。如果先前提交并拒绝了异常请求,请阅读拒绝的拒绝和用户名的显示原因。这有助于跟踪对处理此漏洞的处理。

  1. 选择所有实例的选定资产组中范围下拉列表。
  2. 的资产组名称资产群体列表
  3. 从下拉列表中选择异常的原因。有关异常原因的信息,请参见了解排除漏洞的案例
  4. 输入额外的评论。这些对审稿人理解你提出请求的原因特别有帮助。

如果您选择其他作为从下拉列表中的原因,需要额外的评论。

  1. 要创建过期日期,请选择选择日期到期下拉列表。指定日期,或使用日历选择日期。
  2. 点击提交和批准使例外生效。
  3. 点击提交将例外放置在审核中,并在组织中审核另一个人。

提交或重新提交异常请求,了解漏洞的单个实例

当您为漏洞的单个实例创建异常时,如果设备、端口和其他数据匹配,应用程序将不会报告针对资产的漏洞。

找到要申请异常的漏洞的实例。有几种方法可以定位到漏洞。对于特定于站点的异常,以下方式最简单。

  1. 单击漏洞安全控制台Web界面的图标。
  2. 在中找到该漏洞漏洞表上的漏洞页面,然后单击链接。
  3. 在中找到受影响的资产影响此漏洞的详细信息页上的表格。
  4. 可选的) 点击资产图标并使用其中一个显示的选项查找资产上的漏洞。看定位和使用资产
  5. 在中找到该漏洞漏洞表,并单击它的链接。

创建并提交单个例外请求。

如果某个漏洞具有除排除, 看了解漏洞异常状态和工作流程

  1. 看着那(这异常列为所定位的漏洞。本专栏显示了几种可能的操作之一。如果以前没有提交过漏洞的异常请求,则列显示该列排除图标。如果提交后被拒绝,列将显示一个重新提交图标。
  2. 单击图标。A.漏洞异常对话框出现了。如果之前提交了一个例外请求,然后被拒绝了,您可以在方框顶部的注释中查看拒绝的原因和审稿人的用户名。从下拉列表中选择请求异常的原因。有关异常原因的信息,请参见了解排除漏洞的案例
  3. 选择资源上的特定实例范围下拉列表。如果您选择其他作为从下拉列表中的原因,需要额外的评论。
  4. 输入额外的评论。这些对审稿人理解你提出请求的原因特别有帮助。
  5. 要创建过期日期,请选择选择日期下拉列表中的“过期时间”。指定日期,或使用日历选择日期。
  6. 点击提交和批准使例外生效。
  7. (可选)点击提交将例外放置在审核中,并在组织中审核另一个人。

重新提交多个同步异常请求。如果要排除大量漏洞,则此过程非常有用,因为例如,它们都具有相同的补偿控制。

  1. 上完大学后漏洞如前一节所述,为要排除的每个漏洞选择行。或
  2. 若要选中表格中显示的所有漏洞,请单击最上方的复选框。然后选择弹出窗口选项选择“可见”
  3. 点击排除对于尚未提交异常的漏洞,或单击重新提交对于被拒绝异常的漏洞。
  4. 按照上一节所述继续执行漏洞异常工作流。如果您选择了多个漏洞,但又想取消选择,请单击顶行。然后选择弹出选项清除所有

如果您选择所有列出的漏洞进行排除,它将只适用于尚未排除的漏洞。例如,如果漏洞表中包括正在审查或被拒绝的漏洞,全局排除将不适用于这些漏洞。这同样适用于全局重新提交:它只适用于列出的已被拒绝排除的漏洞。

验证异常(如果您提交并批准了)。批准异常后,漏洞不再出现在列表中漏洞页面。

  1. 单击政府偶像控制台显示政府页面。
  2. 单击管理链接漏洞例外
  3. 中的异常漏洞异常列表表格

调用您提交的异常请求

如果其状态仍在审查,您可以记住或取消,或者取消漏洞异常请求。

定位异常请求,并验证它仍在检查中。位置取决于异常的范围。例如,如果异常针对单个资产上的所有漏洞实例,则将该资产定位到影响此漏洞的详细信息页上的表格。如果“异常”列中的链接为正在审查下,你可以回忆起它。

回想起一个请求。

  1. 单击正在审查链接
  2. 点击记起在里面漏洞异常对话框。的链接异常列更改为排除

调用多个同步异常请求。

如果您希望收回大量请求,则此过程非常有用,因为您已经了解到,自从您提交了这些请求之后,就有必要将它们包含在报告中。

  1. 在按照上一节中描述的方法定位异常请求之后,选择您想要排除的每个漏洞的行。或
  2. 若要选中表格中显示的所有漏洞,请单击最上方的复选框。然后选择弹出窗口选项选择“可见”
  3. 点击记起
  4. 按照上一节的描述继续执行召回工作流。如果您选择了多个漏洞,但随后想要取消选择,请单击顶部行。然后选择弹出窗口选项清除所有

如果您选择所有列出的漏洞进行召回,它将只适用于正在审查的漏洞。例如,如果漏洞表包括未被排除或被拒绝排除的漏洞,全局召回不会适用于它们。

查看异常请求

审查漏洞例外请求后,您可以批准或拒绝该请求。

  1. 定位异常请求。
  2. 单击政府安全控制台Web界面的图标。
  3. 政府页面,单击管理旁边的链接漏洞例外
  4. 漏洞异常列表表格要选择要查看的多个请求,请选择每个所需行。或者,要选择所有请求,请选择顶行。选择多个请求如果您知道,例如,您希望出于同样的原因接受或拒绝多个请求。

查看请求。

  1. 单击正在审查下链接在审查状态列。
  2. 阅读提交请求的用户并决定是否批准或拒绝请求的评论。
  3. 在评论程序的评论文本框中输入评论。这样做可能会有助于提交者。如果要选择审阅决策的过期日期,请单击日历图标并选择日期。例如,在PCI审核完成之前,您可能希望实际上生效。

您还可以单击“顶阶”复选框以选择所有请求,然后在一步中批准或拒绝它们。

  1. 点击批准拒绝,这取决于你的决定。审查的结果出现在审查状态列。

删除漏洞异常或异常请求

删除异常是覆盖批准请求的唯一方法。

找到异常或异常请求。

  1. 单击政府安全控制台Web界面的图标。控制台显示政府页面。
  2. 单击管理旁边的链接漏洞例外
  3. 漏洞异常列表表格要选择多个删除请求,请选择每一行。或者,要选择所有要删除的请求,请选择顶部行。

删除请求。

  1. 单击删除图标。进入(IE)不再出现​​在漏洞异常列表桌子受影响的漏洞出现在相应的漏洞列表中,并带有排除图标,这意味着具有适当权限的用户可以为其提交异常请求。

查看报告卡报告中的漏洞异常

基于默认报告卡模板生成报告时,每个漏洞异常都会显示在漏洞列表上,并说明其异常原因。

漏洞异常如何出现在XML和CSV格式中

漏洞异常对于修复项目的优先级和合规审计可能是重要的。报告模板包括致力于异常的部分。请参阅[漏洞异常]。在XML和CSV报告中,也可用异常信息。

XML:该漏洞测试状态属性设置为以下一个值之一,因为漏洞抑制了由于异常:

异常 - 易受攻击 - 异常抑制漏洞漏洞

Exception - vulnerability -version -异常抑制版本检查漏洞

异常易受攻击 - 潜在 - 异常抑制潜在漏洞

CSV对于由于异常而被抑制的漏洞,漏洞结果代码列将被设置为以下值之一。每个代码对应于漏洞检查的结果:

每个代码对应于漏洞检查的结果:

  • DS.(跳过,禁用):未执行检查,因为它在扫描模板中禁用。
  • EE.(被排除在外,已被剥削的):除以剥削漏洞的支票被排除在外。
  • EP.(排除,潜在):排除了对潜在漏洞的检查。
  • (检查期间错误):漏洞检查期间发生错误。
  • EV.(被排除,版本检查):将被排除在一起。它是可以识别的漏洞,因为扫描服务或应用程序的版本与已知的漏洞相关联。
  • 新界(没有测试):没有检查要执行。
  • 内华达州(不脆弱):检查为阴性。
  • 机汇(覆盖,版本检查):检查通常是正常的漏洞,因为目标服务或应用程序的版本与已知的漏洞相关,由于来自其他检查的信息,由于来自其他检查的信息,因此具有负面的漏洞。
  • sd(由于DOS设置跳过):SD(由于DOS设置跳过) - 如果在扫描模板中未启用不安全的检查,则由于导致拒绝服务(DOS)的风险,应用程序跳过了检查。看漏洞检查设置的配置步骤
  • sv(由于不适当的版本跳过):应用程序没有执行检查,因为扫描项目的版本不在检查列表中。
  • 英国(未知):内部问题阻止了应用程序报告扫描结果。
  • ve(易受攻击,剥削):检查是积极的。利用验证了漏洞。
  • VP.(易受伤害,潜力):检查潜在漏洞是积极的。
  • VV.(易受攻击,版本检查):检查为阳性。扫描的服务或软件版本与已知漏洞相关。