分析在扫描中发现的漏洞是改善您的安全态势的关键步骤。通过检查频率、受影响的资产、风险级别、可利用度以及漏洞的其他特性,您可以优先排序漏洞修复工作并且有效地管理您的安全资源。
在扫描流程中发现的每个漏洞都会被添加到漏洞数据库中。这种庞大的全文本、可搜索数据库还能够存储关于补丁、可下载修复以及安全漏洞参考内容的信息。通过保留并更新漏洞定义和链接的订阅服务,本应用程序可以保持数据库的最新状态。它每隔六小时与此服务联络获取新信息。
此数据库被证明符合 MITRE 公司的公共漏洞和暴露 (CVE) 指数,该指数对各种安全产品和供应商的漏洞名称进行标准化设定。这个指数可以按照 MITRE 的第 2 版通用漏洞评分系统的规定对漏洞进行评估。
一种应用程序算法会根据利用容易程度、远程执行能力、凭证访问要求以及其他标准计算 CVSS 分数。介于 1.0 至 10.0 之间的分数可用于支付卡行业 (PCI) 合规测试。如需了解有关 CVSS 评分的更多信息,请访问 FIRST 网站 (http://www.first.org/cvss/cvss-guide.html)。
查看漏洞及其风险评分有助于您优先排序修复工程。您还可以查明哪些漏洞具有可用的漏洞利用程序,从而使您可以验证这些漏洞。请参见 使用漏洞利用程序曝光。
点击在控制台界面的每个页面上显示的漏洞图标。
安全控制台可以显示漏洞页面,根据用户权限的不同,此页面能够列出当前登录用户被授权查看的资产的所有漏洞。由于全局管理员可以访问您的企业内的所有资产,因此,他们可以看见数据库中的所有漏洞。
漏洞页面
漏洞页面上的图表按照 CVSS 分数和可利用技能级别显示了您的漏洞。CVSS 分数图表显示了您有多少个漏洞分布在每个 CVSS 分数范围之中。此分数以访问复杂度、需要的认证以及对数据的影响为依据。分数范围介于 1 至 10 之间,其中,10 表示最差,因此,您应该对带有较高数值的漏洞进行优先处理。
按技能级别划分的可利用漏洞图表显示了按照利用漏洞所需技能级别分类的漏洞。最容易利用的漏洞会显现最大的威胁,这是因为掌握必要技能的人员较多,因此,您应该优先修复新手级别的漏洞,然后逐步上升至专家级别的漏洞。
标题栏列出了每个漏洞的名称。
有两个栏显示了每个漏洞将您的资产暴露给恶意软件攻击还是漏洞利用程序。按照任一标准分类条目的做法能够帮助您在一瞥之下判断哪些漏洞可能需要立即关注,因为它们会增加遭侵害的可能性。
针对每个至少带有一个与其相关的恶意软件包(也被称为漏洞利用程序包)的已发现漏洞,控制台都会显示一个恶意软件曝光图标 
。如果您点击该图标,控制台就会显示威胁列表弹出窗口,上面列出了攻击者编写和部署恶意代码所使用的所有恶意软件包,以通过漏洞攻击您的环境。您可以生成一份恶意软件包列表的逗号分隔值 (CSV) 文件,与企业中的其他人共享。点击导出为 CSV图标 
。根据您的浏览器设置,您将看到一个带有保存文件选项的弹出窗口,或可以在某个兼容程序中打开文件。
您还可以在弹出窗口中点击漏洞利用程序标签,以查看适用于该漏洞的已发布的漏洞利用程序。
就本应用程序来说,已发布的漏洞利用程序系已在 Metasploit 中开发或列在漏洞利用程序数据库中(www.exploit-db.com)。
对于每个带有相关漏洞利用程序的已发现漏洞,控制台都会显示一个漏洞利用程序图标。如果您点击此图标,控制台就会显示威胁列表弹出窗口,其中列出了关于所有可用漏洞利用程序的描述、他们所需的技能级别以及他们的在线资源。漏洞利用程序数据库 
是一个关于漏洞利用程序和可入侵软件的档案。如果 Metasploit 漏洞利用程序可用,控制台会显示 
™ 图标以及一个指向 Metasploit 模块的链接,该模块提供了详细的漏洞利用程序信息和资源。
目前存在三种漏洞利用程序技能级别:新手、中间人和专家。它们与 Metasploit 的七个漏洞利用程序等级相对应。如需了解更多信息,请参见 Metasploit 框架页面 (http://www.metasploit.com/redmine/projects/framework/wiki/Exploit_Ranking)。
您可以生成一份漏洞利用程序包列表的逗号分隔值 (CSV) 文件,与企业中的其他人共享。点击导出为 CSV 图标 
。根据您的浏览器设置,您将看到一个带有保存文件选项的弹出窗口,或可以在某个兼容程序中打开文件。
您还可以在弹出窗口中点击恶意软件标签,以查看攻击者编写和部署恶意代码所使用的任何恶意软件包,以通过漏洞攻击您的环境。
CVSS 分数栏列出了每个漏洞的分数。
发布日期栏列出了关于每个漏洞的信息变为可用的日期。
风险栏列出了应用程序计算的风险评分,表明每个漏洞对攻击者利用漏洞构成的潜在危险。本应用程序提供了两种风险评分模式,您可以进行配置。请参见管理员指南中的选择计算风险评分的模式。您所选择的风险模式能够控制在风险栏中显示的分数。如需了解有关风险评分及其计算方式的更多信息,请参见 PCI、CVSS 和风险评分常见问题,您可以访问支持页面查阅此内容。
本应用程序会为每个漏洞指定一个严重性级别,此严重性级别列于严重性栏中。三种严重性级别—关键、严重和中等—体现了既定漏洞对您的网络安全造成的风险程度。本应用程序会使用各种因素来评价严重性,包括 CVSS 分数、漏洞存在时间和发生率以及漏洞利用程序是否可用。请参见 PCI、CVSS 和风险评分常见问题,您可以访问支持页面查阅此内容。
注意: 严重性栏中的严重性等级与 PCI 报告中的严重性评分无关。
1 至 3 = 中等
4 至 7 = 严重
8 至 10 = 关键
实例栏列出了该漏洞在您的站点中的实例的总数。如果您点击漏洞名称的链接,您可以查看哪些特定资产会收到该漏洞的影响。请参见查看漏洞细节。
您可以点击任何已列出漏洞的排除列中的图标,以从报告中排除该漏洞。
针对您的网络的管理变更(如新的凭证)可能会改变资产在下一次扫描中允许的访问级别。如果由于资产允许范围更大的访问,应用程序之前已发现某些漏洞,但是,受访问范围缩小的影响,该漏洞数据不再适用。即使没有执行任何修复工作,这可能也会导致较少数量的已报告漏洞。由于发生此类变更,使用基准对比报告列出扫描之间的差异可能会产生不正确的结果或者提供不必要的信息。请务必确保您的资产允许您预防这些问题而运行的扫描所需的最高级访问。
漏洞类别和漏洞检查类型表格列出了应用程序可以扫描的所有类别和检查类型。您的扫描模板配置设置能够决定应用程序会扫描哪些类别或检查类型。如需判断您的环境是否含有属于任一列出检查或类型的漏洞,请点击适当的链接。安全控制台会显示一个列出所有相关漏洞的页面。点击任何漏洞链接,以查看其详情页面,上面列出了任何受影响的资产。
根据您的扫描环境大小的不同,您的扫描可能会发现数百或者甚至数千个漏洞。在漏洞列表表格中显示的大量漏洞可能会令访问和优先排序安全问题变得困难。通过过滤您的漏洞视图,您可以降低这些已显示漏洞的绝对数量并限制影响某些资产的漏洞的视图。例如,安全管理员可能只想查看影响他/她所管理的站点或资产组中的资产的漏洞。或者,您可以限制对您的企业构成较大威胁的漏洞的视图,如具有较高风险评分或 CVSS 等级的漏洞。
过滤您的漏洞视图涉及到选择一个或多个过滤器,这是显示特定漏洞的标准。然后,您需要针对每个过滤器选择一个操作符,它会控制应用过滤器的方式。
站点名称是针对影响特定站点中的资产的漏洞的过滤器。此过滤器通过以下操作符运行:
资产组名称是针对影响特定资产组中的资产的漏洞的过滤器。此过滤器通过以下操作符运行:
CVE ID 是针对基于 CVE ID 的漏洞的过滤器。CVE 标识符 (ID) 是用于周知信息安全漏洞的唯一、通用的标识符。若需更多信息,请登入 https://cve.mitre.org/cve/identifiers/index.html。过滤器将搜索字符串应用于 CVE ID,所以搜索会返回满足指定标准的漏洞。此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入 CVE ID 的搜索字符串。
CVSS 分数是针对具有特定 CVSS 级别的漏洞的过滤器。此过滤器通过以下操作符运行:
选择操作符后,在空白字段输入一个分数。如果您选择了范围操作符,您需要输入一个低分数和一个高分数以创建一个范围。可接受的值包括从 0.0 至 10 的任意数字。小数点后只可保留一位。如果您输入了多位,分数会自动四舍五入。例如,如果您输入的分数为 2.25,则分数会自动四舍五入为 2.3。
风险评分是针对具有某个风险评分的漏洞的过滤器。此过滤器通过以下操作符运行:
选择操作符后,在空白字段输入一个分数。如果您选择了范围操作符,您需要输入一个低分数和一个高分数以创建一个范围。在根据风险评分搜索资产时,要记住当前选择的风险策略。例如,如果您当前选择的策略是实际风险,那么您将无法查找到分数高于 1,000 的资产。了解不同风险评分策略。请参考漏洞和资产表格中的风险评分做为指导。
漏洞类别是一种您可以根据在扫描中已标记在漏洞上的类别搜索漏洞的过滤器。您可以在扫描模板配置或报告配置中找到漏洞类别的列表。
过滤器将搜索字符串应用于漏洞类别,这样搜索会返回一份漏洞列表,这些漏洞要么属于、要么不属于匹配搜索字符串的类别。此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入漏洞类别的搜索字符串。
漏洞标题是一种让您基于标题搜索漏洞的过滤器。过滤器将搜索字符串应用于漏洞标题,这样,搜索便会返回一份资产列表,这些资产的标题中要么拥有、要么没有指定的字符串。此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入漏洞名称的搜索字符串。
注意: 每个过滤器您只能使用一次。例如,您不能选择站点名称过滤器两次。如果您想要在显示标准中指定超过一个站点名称或资产名称,请在配置过滤器时使用 SHIFT 键选择多个名称。
如需应用漏洞显示过滤器,请执行以下步骤:
安全控制台将显示漏洞页面。
安全控制台将在表格中显示符合所有过滤标准的漏洞。
目前,过滤器还不能更改针对每个漏洞显示的实例的数量。
过滤漏洞的显示
ヒント: 您可以将已过滤的漏洞视图导出为逗号分隔值 (CSV) 文件,与安全团队的成员共享。如需这么做,请点击漏洞列表表格底部的导出为 CSV 链接。
点击在漏洞页面上列出的任何漏洞的链接,以查看关于该漏洞的信息。安全控制台将显示关于该漏洞的页面。
某特定漏洞的页面
在页面的顶部是关于漏洞的描述、它的严重性级别和 CVSS评分、发布关于漏洞信息的日期以及 Rapid7 修改漏洞信息的最新日期,如它的修复步骤。
在这些项目的下方是一个表格,列出了每个受影响的资产、端口以及扫描报告漏洞所在的站点。您可以点击设备名称或地址的链接,以查看所有的漏洞。在设备页面上,您可以创建针对修复的票证。请参见使用票证。您亦可以点击站点链接,以查看关于站点的信息。
受影响资产表格的端口栏列出了应用程序在扫描过程中联络受影响的服务或软件所使用的端口。如果应用程序已确认漏洞,状态栏会列出资产的可入侵状态。如果应用程序仅检测到资产正在运行的特定程序的版本已被知晓带有漏洞,它会列出可入侵的版本状态。
证明栏会列出应用程序在每个资产上检测漏洞所使用的方法。它能够使用通常与黑客相关的利用方法,以检查注册密钥、标志、软件版本编号以及其他敏感性指标。
漏洞利用程序表格会列出关于可用漏洞利用程序的描述及其在线资源。漏洞利用程序数据库是一个关于漏洞利用程序和可入侵软件的档案。如果 Metasploit 漏洞利用程序可用,控制台会显示 
™ 图标以及一个指向 Metasploit 模块的链接,该模块提供了详细的漏洞利用程序信息和资源。
恶意软件表格会列出攻击者编写和部署恶意代码所使用的任何恶意软件包,以通过漏洞攻击您的环境。
在受影响资产窗格下显示的参考表格会列出网站的链接,这些网站提供了关于漏洞的综合信息。在页面的最底部是解决方案窗格,它列出了修复步骤以及下载补丁和修复的链接。
如果您想在数据库中查询特定漏洞且您知道它的名称,请在控制台界面的每个页面上显示的搜索方框中输入全部或部分名称,并点击放大镜图标。控制台会显示一个按照不同类别(包括漏洞)组织的搜索结果页面。
目前有很多方法可以对漏洞进行分类和优先排序,以执行修复工作。一个方法是给予已被验证的漏洞或已被证明确实存在的漏洞较高的优先级。本应用程序能够使用许多种方法在扫描过程中标记漏洞,如指纹识别已知可入侵的软件版本。这些方法针对漏洞存在的事实提供了不同程度的确定性。您可以通过利用漏洞的方式来提高漏洞存在的确定性,这涉及到部署能够通过该特定漏洞渗入您的网络或访问计算机的代码。
如在查看活动漏洞主题中讨论的那样,任何具有与其相关的已发布漏洞利用程序的漏洞均以 Metasploit 或漏洞利用程序数据库图标标记。您可以整合 Rapid7 Metasploit 作为验证在扫描中发现的漏洞的工具,然后,使用 InsightVM 指出这些漏洞已在特定资产上被验证。
注意: Metasploit 是漏洞验证功能支持的唯一一个利用应用程序。请参见教程,以了解使用 Metasploit 执行漏洞验证的信息。
如需在 InsightVM 中使用经 Metasploit 验证的漏洞,请执行下列步骤:
安全控制台将显示资产详情页面。
在漏洞表格中查看漏洞利用程序栏 (
)。
图标。如果一个漏洞被验证为带有发布在漏洞利用程序数据库中的漏洞利用程序,则此栏将显示 
图标。
如下方屏幕截图所示,此栏的降序排列顺序为 1) 已使用 Metasploit 漏洞利用程序验证的漏洞,2) 可以使用 Metasploit 漏洞利用程序验证的漏洞, 3) 已使用漏洞利用程序数据库利用验证的漏洞,4) 可以使用漏洞利用程序数据库利用验证的漏洞。
带有突出显示的曝光符号一览表的资产细节页面