使用漏洞例外情况

所有已发现的漏洞都会在安全控制台网页界面的漏洞表格中显示出来。您的企业可以从报告或风险评分中排除某些漏洞。

理解排除漏洞的案例

从报告中排除漏洞的原因可能有许多种。

补偿控制 网络管理员可能需要降低某些漏洞的安全风险,从技术上来看,这些漏洞会妨碍他们的企业实现 PCI 合规。在某些情况下,从报告中排除这些漏洞的做法是可以接受的。例如,本应用程序可能会在防火墙后的资产上发现可入侵的服务,因为它具有通过防火墙的访问授权。尽管此漏洞可能会导致资产或站点审计失败,但是商户可以提出防火墙能够在正常情况下降低任何实际风险的理由。此外,网络中可能含有主机或基于网络的入侵防御系统,它们能够进一步降低风险。

可接受的使用企业可以合法使用某些可能被本应用程序解释为漏洞的实践。例如,匿名 FTP 访问可能是一种审慎的实践,但不属于漏洞。

可接受的风险 在某些情况下,如果漏洞带来较低的安全风险且如果修复的开销过于昂贵或者修复工作需要投入大量努力,不修复漏洞可能是比较可取的方法。例如,针对某个漏洞应用特定补丁可能会阻止应用程序正常运转。重新设计应用程序在补丁系统上的运行可能需要投入大量的时间、资金或者需要调整其他资源,特别是在漏洞会带来最小风险的时候。

误报按照 PCI 标准,商户应该具备报告误报的能力,此类误报随后会在 PCI 审计中由合格安全评估商 (QSA) 或经批准的扫描供应商 (ASV) 进行验证和承认。下文是一些适合从审计报告中排除误报的场景。在所有情况下,QSA 或 ASV 均需要审批例外情况。

向下移植可能会导致误报。例如,在较旧的 Red Hat 服务器上安装的 Apache 更新可能会产生漏洞,这种漏洞应该作为误报被排除。

如果某个漏洞利用程序在一项或多项资产上报告误报,那么,适当的做法是排除这些结果。

注意: 为了保障遵守联邦法规如萨班斯-奥克斯利法案 (SOX),记录漏洞例外情况的详细情况如参与请求和批准例外情况的人员、相关日期以及关于例外情况的信息通常是至关重要的。

理解漏洞例外情况权限

您使用漏洞例外情况的能力取决于您的权限。如果您现在还不了解自己的权限有哪些,请咨询您的全局管理员。

三种权限与漏洞例外情况工作流相关

理解漏洞例外情况状态和工作流

每个漏洞都有一个例外情况状态,包括从未被考虑例外情况的漏洞。在例外情况方面,您可以采取的行动的范围取决于例外情况状态以及您的权限,如下表所示

如果漏洞具有下列例外情况状态... ...您具有下列权限... ...您可以采取下列操作
从未提交过例外情况 提交例外情况请求 提交例外情况请求
先获批准,后被删除或者已过期 提交例外情况请求 提交例外情况请求
审查中已提交,但未被批准或拒绝 审阅漏洞例外情况 批准或拒绝请求
在其他示例、资产或站点中排除 提交例外情况请求 提交例外情况请求
审查中由您提交   收回例外情况
审查中已提交,但未被批准或拒绝 删除漏洞例外情况 删除请求
已批准 审阅漏洞例外情况 查看并更改批准详情,但不推翻批准结果
被拒绝 提交例外情况请求 提交另一个例外情况请求
已批准或被拒绝 删除漏洞例外情况 删除例外情况,并推翻批准结果

理解例外情况范围的不同选项

在某个资产上,漏洞可能会被发现一次或多次。漏洞可能还会在许多资产上被发现。在您提交漏洞例外情况请求之前,请查看已被发现的漏洞实例的数量以及受到影响的资产的数量。此外,了解每个受影响的资产的周围环境是十分重要的。在提交请求时,通过使用下列任一选项,您可以控制例外情况的范围

提交或重新提交全局漏洞例外情况请求

全局漏洞例外情况是指在存在漏洞的环境中,应用程序不会报告在该环境中的任何资产上的漏洞。只有全局管理员可以提交全局例外情况请求。

查找您想要请求例外情况的漏洞。查找漏洞的方法有许多种。下列方法是针对全局例外情况的最简便的方法。

  1. 点击安全控制台网页界面的漏洞图标。

安全控制台将显示漏洞页面。

  1. 漏洞表格中查找漏洞。

创建并提交例外情况请求。

  1. 查看已查找到的漏洞的例外情况栏。

此栏将显示多种可能存在的行动之一。如果之前未针对该漏洞提交例外情况请求,则此栏将显示排除图标。如果该例外情况曾被提交并拒绝,则此栏将显示重新提交图标。

  1. 点击图标。

ヒント:  如果漏洞具有除排除之外的行动图标,请参见理解漏洞例外情况权限

漏洞例外情况对话框将会显示出来。如果某个例外情况请求之前曾被提交并遭到拒绝,请读取显示的拒绝原因以及审查者的用户名。这对于追踪先前关于处理此漏洞的决策而言十分有帮助。

  1. 如果未在范围下拉列表中显示,请选择所有实例
  2. 从下拉列表中选择例外情况的原因。

如需了解有关例外情况原因的信息,请参见理解排除漏洞的案例

  1. 输入其他注释。

这对于审查者理解您的请求原因特别有帮助。

注意: 如果您从下拉列表中选择其他作为原因,您必须提供附加注释。

  1. 点击提交并批准,以令例外情况生效。
  2. 可选点击提交,以将例外情况提交审查并让您的企业内的另一名员工进行审查。

注意: 只有全局管理员可以提交并批准漏洞例外情况。

验证例外情况如果您已提交批准

    当您批准例外情况后,漏洞就不会在漏洞页面的列表中出现。

  1. 点击管理图标。

    2. 控制台将显示管理页面。

  2. 点击漏洞例外情况管理链接。
  3. 漏洞例外情况列表表格中查找例外情况。

针对特定站点上的漏洞的所有实例提交或重新提交例外情况请求

注意: 如果您在 2015 年 4 月 8 日的产品更新后启用了连接所有站点之间的匹配资产,则无法在启用该连接选项使用此网页界面功能排除站点中的漏洞。在启用该选项之前创建于网页界面中的站点层面的例外情况将继续适用。请参见连接不同站点之间的资产。您可以用 API 排除站点层面的漏洞。请参见 API 指南。

注意: 页面上针对扫描的漏洞信息是特定于具体的扫描实例而存在的。为了将漏洞从未来扫描中排除,创建例外情况的能力可在更多累积等级中获得,如站点或漏洞列表。

查找您想要请求例外情况的漏洞。查找漏洞的方法有许多种。下列方法是针对特定站点例外情况的最简便的方法

  1. 如果您想要查找特定漏洞,请点击安全控制台网页界面的漏洞图标。

安全控制台将显示漏洞页面。

  1. 漏洞表格中查找漏洞,并点击该链接。
  2. 在漏洞详情页面的影响表格中查找您想要排除漏洞实例的特定站点中的资产。

或者

  1. 如果您想要查看哪些漏洞会在不同站点中影响资产,请点击资产图标。

安全控制台将显示资产页面。

安全控制台将显示站点页面。

  1. 点击您想查看漏洞的站点。

安全控制台将显示已选中站点的页面。

  1. 资产列表表格中点击资产。

安全控制台将显示已选中资产的页面。

  1. 漏洞表格中查找您想要排除的漏洞,并点击该链接。

创建并提交单个例外情况请求。

  1. 查看已查找到的漏洞的例外情况栏。如果之前未针对该漏洞提交例外情况请求,则此栏将显示排除图标。如果该例外情况曾被提交并拒绝,则此栏将显示重新提交图标。
  2. 点击排除图标。

注意: 如果漏洞具有除排除之外的行动链接,请参见理解排除漏洞的案例

漏洞例外情况对话框将会显示出来。如果某个例外情况请求之前曾被提交并遭到拒绝,请读取显示的拒绝原因以及审查者的用户名。这对于追踪先前关于处理此漏洞的决策而言十分有帮助。

  1. 范围下拉列表中选择此站点上的所有实例
  2. 从下拉列表中选择例外情况的原因。

如需了解有关例外情况原因的信息,请参见理解排除漏洞的案例

  1. 输入其他注释。

这对于审查者理解您的请求原因特别有帮助。如果您从下拉列表中选择其他作为原因,您必须提供附加注释。

  1. 点击提交并批准,以令例外情况生效。
  2. 点击提交,以将例外情况提交审查并让您的企业内的另一名员工进行审查。

针对特定资产上的漏洞的所有实例提交或重新提交例外情况请求

查找您想要请求例外情况的漏洞。查找漏洞的方法有许多种。下列方法是针对特定资产例外情况的最简便的方法。

  1. 如果您想要查找特定漏洞,请点击安全控制台网页界面的漏洞图标。

安全控制台将显示漏洞页面。

  1. 漏洞表格中查找漏洞,并点击该链接。
  2. 在漏洞详情页面的影响表格中点击含有您想要排除漏洞实例的资产的链接。
  3. 在受影响资产的详情页面中,在漏洞表格中查找漏洞,并点击该链接。

或者

  1. 如果您想要查看哪些漏洞会影响您使用不同分组类别查找的特定资产,请点击资产图标。

安全控制台将显示资产页面。

  1. 选择一个选项,以按照不同分组类别查看资产它们所属的站点、它们所属的资产组、托管操作系统、托管软件或托管服务。或者,点击链接查看所有资产。
  2. 根据您选择的类别的不同,点击显示的子类别直至您找到所搜索的资产。请参见 定位和使用资产

安全控制台将显示已选中资产的页面。

  1. 漏洞表格中查找您想要排除的漏洞,并点击该链接。

创建并提交单个例外情况请求。

注意:  如果漏洞具有除排除之外的行动链接,请参见理解漏洞例外情况状态和工作流

  1. 查看已查找到的漏洞的例外情况栏。此栏将显示多种可能存在的行动之一。如果之前未针对该漏洞提交例外情况请求,则此栏将显示排除图标。如果该例外情况曾被提交并拒绝,则此栏将显示重新提交图标。
  2. 点击图标。

漏洞例外情况对话框将会显示出来。如果某个例外情况请求之前曾被提交并遭到拒绝,请读取显示的拒绝原因以及审查者的用户名。这对于追踪先前关于处理此漏洞的决策而言十分有帮助。

  1. 范围下拉列表中选择此资产上的所有实例

注意: 如果您从下拉列表中选择其他作为原因,您必须提供附加注释。

  1. 输入其他注释。

这对于审查者理解您的请求原因特别有帮助。

  1. 点击提交并批准,以令例外情况生效。
  2. 可选点击提交,以将例外情况提交审查并让您的企业内的另一名员工进行审查。

同时创建并提交或重新提交多个例外情况请求。

如果您因为许多漏洞具有相同的补偿控制而想要排除大量漏洞,此程序十分有用。

  1. 在按照前文规定前往漏洞表格后,请选择您想要排除的每个漏洞所在的行。

或者

如需选择在表格中显示的所有漏洞,请点击顶行的复选框。然后,选择弹出选项选择可见

  1. 针对尚未提交例外情况的漏洞点击排除,或者针对已被拒绝例外情况的漏洞点击重新提交
  2. 按照前文规定处理漏洞例外情况工作流。

如果您已选择多个漏洞,但想要取消选择,请点击顶行。然后选择弹出选项清除所有

注意: 如果您选择排除所有的列出漏洞,则此操作仅适用于未被排除的漏洞。例如,如果漏洞表格含有审查中或已被拒绝的漏洞,则全局排除对它们不适用。全局重新提交也同样如此它仅适用于未被拒绝排除的列出漏洞。

验证例外情况如果您已提交批准。当您批准例外情况后,漏洞就不会在漏洞页面的列表中出现。

  1. 点击管理图标。

安全控制台将显示管理页面。

  1. 点击漏洞例外情况管理链接。
  2. 漏洞例外情况列表表格中查找例外情况。

针对漏洞的单个实例提交或重新提交例外情况请求

当您针对漏洞的单个实例创建例外情况时,如果设备、端口和其他数据匹配,应用程序不会报告该资产漏洞。

查找您想要请求例外情况的漏洞的实例。查找漏洞的方法有许多种。下列方法是针对特定站点例外情况的最简便的方法。

  1. 点击安全控制台网页界面的漏洞图标。
  2. 漏洞页面的漏洞表格中查找漏洞,并点击该链接。
  3. 在漏洞的详情页面上的影响表格中查找受影响的资产。
  4. 可选点击资产图标并使用一个显示的选项在资产上查找漏洞。请参见 定位和使用资产
  5. 在资产页面的漏洞表格中查找漏洞,并点击该链接。

创建并提交单个例外情况请求。

注意: 如果漏洞具有除排除之外的行动链接,请参见理解漏洞例外情况状态和工作流

  1. 查看已查找到的漏洞的例外情况栏。此栏将显示多种可能存在的行动之一。如果之前未针对该漏洞提交例外情况请求,则此栏将显示排除图标。如果该例外情况曾被提交并拒绝,则此栏将显示重新提交图标。
  2. 点击图标。

漏洞例外情况对话框将会显示出来。如果某个例外情况请求之前曾被提交并遭到拒绝,您可以在方框顶部的注释中查看拒绝原因以及审查者的用户名。从下拉列表中选择请求例外情况的原因。如需了解有关例外情况原因的信息,请参见理解排除漏洞的案例

  1. 范围下拉列表中选择此资产上的特定实例

如果您从下拉列表中选择其他作为原因,您必须提供附加注释。

  1. 输入其他注释。这对于审查者理解您的请求原因特别有帮助。
  2. 点击提交并批准,以令例外情况生效。
  3. 可选点击提交,以将例外情况提交审查并让您的企业内的另一名员工进行审查。

同时重新提交多个例外情况请求。

如果您因为许多漏洞具有相同的补偿控制而想要排除大量漏洞,此程序十分有用。

  1. 在按照前文规定前往漏洞表格后,请选择您想要排除的每个漏洞所在的行。

或者

  1. 如需选择在表格中显示的所有漏洞,请点击顶行的复选框。然后,选择弹出选项选择可见
  2. 针对尚未提交例外情况的漏洞点击排除,或者针对已被拒绝例外情况的漏洞点击重新提交
  3. 按照前文规定处理漏洞例外情况工作流。

如果您已选择多个漏洞,但想要取消选择,请点击顶行。然后选择弹出选项清除所有

注意: 如果您选择排除所有的列出漏洞,则此操作仅适用于未被排除的漏洞。例如,如果漏洞表格含有审查中或已被拒绝的漏洞,则全局排除对它们不适用。全局重新提交也同样如此它仅适用于未被拒绝排除的列出漏洞。

验证例外情况如果您已提交批准。当您批准例外情况后,漏洞就不会在漏洞页面的列表中出现。

  1. 点击管理图标。

控制台将显示管理页面。

  1. 点击漏洞例外情况管理链接。
  2. 漏洞例外情况列表表格中查找例外情况。

收回您已提交的例外情况请求

如果漏洞例外情况的状态仍然为审查中,您可以收回或取消您已提交的漏洞例外情况请求。

查找例外情况请求,并验证它是否仍然处于审查中。查找取决于例外情况的范围。例如,如果例外情况是针对单个资产上的漏洞的所有实例,那么,您可以在漏洞详情页面的影响表格中查找资产。如果例外情况栏中的链接为审查中,您可以收回该例外情况请求。

收回单个请求。

  1. 点击审查中链接。
  2. 点击漏洞例外情况对话框中的收回

例外情况栏中的链接会变为排除

同时收回多个例外情况请求。

如果您因为在提交请求后发现您有必要将这些例外情况加入报告而想要收回大量请求,此程序十分有用。

  1. 在按照前文规定查找例外情况请求后,请选择您想要排除的每个漏洞所在的行。

或者

  1. 如需选择在表格中显示的所有漏洞,请点击顶行的复选框。然后,选择弹出选项选择可见
  2. 点击收回
  3. 按照前文规定处理收回工作流。

如果您已选择多个漏洞,但想要取消选择,请点击顶行。然后选择弹出选项清除所有

注意: 如果您选择收回所有的列出漏洞,则此操作仅适用于审查中的漏洞。例如,如果漏洞表格含有未被排除或已被拒绝排除的漏洞,则全局收回对它们不适用。

查看例外情况请求

在审查漏洞例外情况请求时,您可以批准或拒绝。

  1. 查找例外情况请求。
  2. 点击安全控制台网页界面的管理图标。
  3. 管理页面,点击漏洞例外情况旁的管理链接。
  4. 漏洞例外情况列表表格中查找请求。

如需选择多个待审查的请求,请选择每个所需行。

或者,如需选择所有待审查的请求,请选择顶行。

如果您知道自己想要接受或拒绝多个具有相同原因的请求,选择多个请求十分有用。

审查请求。

  1. 点击审查状态栏中的审查中链接。
  2. 读取提交请求的用户的注释并决定批准或拒绝请求。
  3. 在审查者注释文本框中输入注释。这么做对提交者有帮助。

如果您想要选择审查决定的过期日期,请点击日历图标并选择一个日期。例如,您可能想让例外情况仅在 PCI 审计完成后生效。

注意: 您还可以点击顶行复选框,以选择所有请求,然后在一个步骤中批准或拒绝它们。

  1. 根据您的决定,点击批准拒绝

审查结果会在审查状态栏中出现。

选择待审查的多个请求

删除漏洞例外情况或例外情况请求

删除例外情况是覆写已批准请求的唯一方式。

查找例外情况或例外情况请求。

  1. 点击安全控制台网页界面的管理图标。

控制台将显示管理页面。

  1. 点击漏洞例外情况旁的管理链接。
  2. 漏洞例外情况列表表格中查找请求。

如需选择多个待删除的请求,请选择每个所需行。

或者,如需选择所有待删除的请求,请选择顶行。

删除请求。

  1. 点击删除图标。

条目就不会在漏洞例外情况列表表格中出现。受影响的漏洞会在带有排除的适当漏洞列表中出现,这表示具有适当权限的用户可以针对它提交例外情况请求。

在报告卡报告中查看漏洞例外情况

当您基于默认的报告卡模板生成报告时,每个漏洞例外情况都会在带有例外情况原因的漏洞列表中出现。

怎样以 XML 和 CSV 格式显示漏洞例外情况

漏洞例外情况对于修复项目的优先次序和合规审计而言可能十分重要。报告模板含有例外情况专用的部分。请参见 漏洞例外情况。在 XML 和 CSV 报告中,例外情况信息也可用。

XML 针对因例外情况而被取消的漏洞,漏洞测试状态属性会被设置为下列数值之一

exception-vulnerable-exploited - Exception suppressed exploited vulnerability

exception-vulnerable-version - Exception suppressed version-checked vulnerability

exception-vulnerable-potential - Exception suppressed potential vulnerability

CSV 针对因例外情况而被取消的漏洞,漏洞结果代码栏将被设置为下列数值之一。每个代码对应的是一次漏洞检查的结果

每个代码对应的是一次漏洞检查的结果