漏洞修复最佳实践

更新时间:

云安全中心提供漏洞管理功能,支持扫描和修复常见漏洞类型,帮助您更全面地了解并及时修复资产中的漏洞风险。本文介绍漏洞扫描修复的优先级、流程及使用云安全中心修复漏洞的最佳实践。

漏洞修复优先级

漏洞修复的优先级由以下因素决定:

  • 技术影响
  • 利用成熟度(PoC、EXP、蠕虫或病毒工具化)
  • 风险威胁(服务器权限失陷与否)
  • 受影响数量级(互联网受影响IP量级决定漏洞被黑客关注程度)

云安全中心提供的漏洞修复紧急度得分计算模型可以评估漏洞修复的紧急程度,帮助您决策漏洞修复的优先级。关于该模型的更多信息,请参见漏洞修复紧急度得分计算模型

漏洞修复紧急度得分与修复优先级对照表如下:

优先级

描述

修复紧急度得分

修复建议

该评级是针对未经身份验证的远程攻击者可以轻松利用并导致系统受损(任意代码执行)而无需用户交互的漏洞。此类漏洞通常为蠕虫、勒索软件等利用的漏洞。

13.5分以上

该漏洞需尽快修复。

该评级适用于潜在可能危及资源的机密性、完整性或可用性的缺陷。此类漏洞通常为暂无法真实可利用,但官方或互联网上披露的评级较高漏洞,建议持续关注。

7.1~13.5分

该漏洞可延后修复。

该评级适用于能被成功利用可能性极低或者成功利用后无实际风险的漏洞。此类漏洞通常是程序源代码中的BUG缺陷,以及对合规场景和业务性能有影响的漏洞。

7分以下

该漏洞可暂不修复。

漏洞修复决策方案

  1. 当您的资产中检测出存在多个漏洞时,可能无法确认优先修复哪个漏洞。针对这个问题,可以在漏洞管理页面,打开仅显示真实风险漏洞开关,过滤出修复优先级较高的漏洞。

    云安全中心真实风险漏洞模型依据阿里云漏洞脆弱性评分系统、时间因子、实际环境因子和资产重要性因子对漏洞进行评估,结合实际攻防场景下漏洞是否可被利用(PoC、EXP)及其危害严重性,帮助您自动过滤出存在真实安全风险的漏洞。开启该功能可以帮助企业提高资产中可被黑客利用的风险漏洞的补救效率以及补救措施的有效性。

    仅显示真实风险漏洞
  2. 对于不同类型的漏洞,云安全中心建议您优先修复应急漏洞Web-CMS漏洞,这两类漏洞均为阿里云安全工程师确认的高危漏洞。接着再修复应用漏洞、Windows系统漏洞和Linux软件漏洞。
  3. 您需要根据实际业务情况、服务器的使用情况以及漏洞修复可能造成的影响来判定漏洞是否需要优先修复。

漏洞修复流程

为了确保在漏洞修复过程中目标服务器系统的正常运行,降低异常情况发生的可能性,在漏洞修复过程中建议按照以下流程进行修复:

  1. 扫描漏洞。
    1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择风险治理 > 漏洞管理
    2. 漏洞管理页面右上角,单击漏洞管理设置
    3. 漏洞管理设置面板检查漏洞管理设置,确保扫描范围能够覆盖所有服务器的各类漏洞。具体操作,请参见扫描漏洞
      漏洞管理设置页面
    4. 返回漏洞管理页面,单击一键扫描
      检查当前账号下所有服务器的漏洞状态,确保所检测的漏洞信息是即时的。
  2. 修复前测试。
    在修复漏洞前,修复人员应在测试环境中部署待修复漏洞的相关补丁,从兼容性和安全性方面进行测试,并在测试完成后编写漏洞修复测试报告。漏洞修复测试报告应包含漏洞修复情况、漏洞修复的时长、补丁本身的兼容性、漏洞修复可能造成的影响。
  3. 备份服务器数据。
    为了避免出现不可预料的后果,在正式开始漏洞修复前,修复人员应使用备份恢复系统对待修复漏洞的服务器数据进行备份。例如,使用ECS的快照功能备份目标ECS实例的数据。修复Windows系统漏洞和Linux软件漏洞可以使用自动创建快照并修复功能,应急漏洞、应用漏洞需要您前往ECS管理控制台创建快照。建议您在导出存在漏洞的ECS服务器清单后,使用自动快照功能备份数据。更多信息,请参见自动快照概述
  4. 修复漏洞。
    在目标服务器部署修复漏洞的相关补丁及执行修复操作时,应至少有两名修复人员在场,一人负责操作,另一人负责记录,防止出现误操作的情况。
  5. 修复后验证。
    修复人员验证目标服务器系统上的漏洞是否已被修复,确保漏洞已修复且目标服务器没有出现任何异常情况。

漏洞修复说明

应急漏洞、应用漏洞

云安全中心只支持检测应急漏洞、应用漏洞并提供修复建议,不支持一键修复。您需要根据漏洞详情中提供的修复建议,登录受影响服务器手动修复漏洞。应急漏洞应用漏洞详情
重要
  • 由于云安全中心漏洞修复在测试中无法覆盖所有系统环境,漏洞补丁修复行为仍存在一定风险。为了防止出现不可预料的后果,建议您先通过ECS管理控制台创建快照并自行搭建环境充分测试修复方案。检测出应急漏洞或应用漏洞的云服务器ECS可以在ECS控制台创建快照进行数据备份。推荐您在导出所有存在漏洞的ECS服务器列表后,使用自动快照策略创建快照。更多信息,请参见自动快照概述
  • 对于部分因业务影响或未发布安全版本而不能修复的漏洞,建议根据官方提供的临时缓解方法进行攻击防御。
  • 对于业务无影响并且有安全版本的漏洞,建议将软件升级到安全版本进行修复。

Linux软件漏洞、Windows系统漏洞

云安全中心支持自动检测和一键修复Linux软件漏洞、Windows系统漏洞,建议您在登录云安全中心控制台的漏洞详情页,处理对应漏洞。关于修复漏洞的更多信息,请参见查看和处理漏洞

资产中存在多个Linux软件漏洞时,您可以使用批量修复功能。仅Linux软件漏洞支持批量修复功能。批量修复功能会自动识别您选择的漏洞公告对应的资产,并修复这些资产中您所选择的漏洞。以下步骤介绍批量修复Linux软件漏洞的具体操作。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择风险治理 > 漏洞管理
  2. 漏洞管理页面的Linux软件漏洞页签,选中需要批量修复的漏洞并单击批量修复
    说明 批量修复漏洞时,基于性能考虑建议一次修复的漏洞个数不超过100个。需要修复的漏洞超过100个时,可以分次创建快照并进行修复。
  3. 批量修复对话框,查看云安全中心识别出的需要修复漏洞的资产列表,选择自动创建快照并修复不建立快照备份直接修复,并单击立即修复

如果批量修复漏洞失败,请检查服务器网络连接是否正常、磁盘空间是否已占满。具体操作,请参见Linux软件漏洞、Windows系统漏洞修复失败,是什么原因?

Web-CMS漏洞

云安全中心支持检测并一键修复Web-CMS漏洞。Web-CMS漏洞检测功能可监控网站目录并识别通用建站软件中存在的漏洞。修复Web-CMS漏洞的操作和Linux软件漏洞类似。具体操作,请参见查看和处理漏洞