报告含有大量信息。仔细研究它们以获得更好的理解,这一点至关重要,它们可以帮助您更佳明智地制定与安全相关的决定。
报告中的数据是实时静态快照。在网页界面中显示的数据在每次扫描中都不相同。两者之间的差异(如已发现资产或漏洞的数量)最有可能归因于您的环境自最后一次报告后发生的变化。
对于您的组织内需要最新数据但不需要访问网页界面的利益相关者来说,应该更加频繁地运行报告。或者,使用报告排程功能自动与扫描排程同步报告排程。
在不断发生变化的环境中,基准对比报告十分有用。
如果您的报告数据与您的期望差异很大,您应考虑可能扭曲数据的多种因素。
扫描设置可以通过多种方式影响报告数据:
如果您使用多种格式传送报告,请注意,不同的格式不仅会影响数据呈现的方式,还会影响数据显示的内容。 诸如 PDF 和 HTML 等可读格式旨在显示按照文档报告模板组织的数据。这些模板对于包含的数据而言更加“有选择性”。在另一方面,XML 导出、XML 导出 2.0、CSV 和导出模板基本含有所有可能的扫描数据。
修复已确认的漏洞是一种高级安全优先事项,因此,在报告中寻找已确认的漏洞十分重要。不过,请不要通过列出潜在漏洞或未确认的漏洞的方式进行排除。而且,不要放弃那些错误判断。
如果发现某种可能存在漏洞的情况,本应用程序可以标记漏洞。如果本应用程序出于任何原因而无法绝对验证存在漏洞,则它会列出潜在漏洞或未确认的漏洞。或者,它可能会指出已扫描的操作系统或者可入侵的应用程序的版本。
漏洞为“潜在”漏洞或未被官方确认的事实不会降低它存在或您需要注意某些相关安全问题的可能性。您可以通过运行漏洞利用程序(如可用)的方式来确认漏洞。请参见使用漏洞工作。您还可以检查扫描日志,以了解潜在可入侵项目被指纹识别的确定性。高级指纹识别确定性可能表示存在漏洞的更大可能性。
您可以在不同的区域查明已报告漏洞的确定性级别:
请注意,在审计报告中出现的已发现的和潜在的漏洞部分不会区分潜在的漏洞和已确认的漏洞。
在审查报告时,考虑漏洞之外的问题,以发现可能令您的网络陷入风险的其他标志。例如,本应用程序可能会发现 telnet 服务并在报告中将其列出。telnet 服务不是一种漏洞。不过,telnet 是一种未经加密的协议。如果您的网络服务器正在使用此协议与远程计算机交换信息,则未被邀请方可以轻易地监控信息传输。您可能希望考虑使用 SSH 作为替代。
再比如,它可能会发现 Cisco 设备允许向 HTTP 服务器发送 Web 请求,而不是将它们重新定向至 HTTPS 服务器。就技术方面而言,这也不是漏洞,但是,这种做法可能会暴露敏感数据。
研究报告,以帮助您积极管理风险。
报告中的一长列漏洞可能会形成令人生畏的情景,您可能希望知道应该首先处理哪个问题。漏洞数据库含有针对 12,000 多个漏洞的检查,相较于您有时间修正的漏洞数目,您可能会在扫描中发现更多的漏洞。
在优先排序漏洞方面,一个有效的方式就是发现哪个漏洞具有真正与其相关的利用。带有已知利用的漏洞能够对您的网络造成非常具体的风险。Exploit ExposureTM 功能可以标记带有已知利用的漏洞并向 Metasploit 模块和利用数据库提供利用信息链接。它还可以利用来自 Metasploit 团队的利用排序数据,从而对既定利用所需的技能级别进行排序。此信息位于安全控制台网页界面的漏洞列表中,您很容易就会发现
由于您无法预测攻击者的技能级别,因此,无论利用所需的技能级别或已知利用的数量为多少,我们强烈建议您采用最佳实践立即修复任何带有实时利用的漏洞。
报告设置可以通过多种方式影响报告数据:
另一种优先排序漏洞的方法是以风险评分为依据。较高的分数可以保证较高的优先级。
本应用程序能够为其在扫描中发现的每个资产和漏洞计算风险评分。基于利用漏洞的影响和可能性,这些评分指出了漏洞可能给网络及业务安全带来的潜在危险。
根据不同的风险策略计算风险评分。请参见使用风险策略分析威胁。