漏洞修复最佳实践
云安全中心提供漏洞管理功能,支持扫描和修复常见漏洞类型,帮助您更全面地了解并及时修复资产中的漏洞风险。本文介绍漏洞扫描修复的优先级、流程及使用云安全中心修复漏洞的最佳实践。
漏洞修复优先级
漏洞修复的优先级由以下因素决定:
- 技术影响
- 利用成熟度(PoC、EXP、蠕虫或病毒工具化)
- 风险威胁(服务器权限失陷与否)
- 受影响数量级(互联网受影响IP量级决定漏洞被黑客关注程度)
云安全中心提供的漏洞修复紧急度得分计算模型可以评估漏洞修复的紧急程度,帮助您决策漏洞修复的优先级。关于该模型的更多信息,请参见漏洞修复紧急度得分计算模型。
漏洞修复紧急度得分与修复优先级对照表如下:
优先级 | 描述 | 修复紧急度得分 | 修复建议 |
高 | 该评级是针对未经身份验证的远程攻击者可以轻松利用并导致系统受损(任意代码执行)而无需用户交互的漏洞。此类漏洞通常为蠕虫、勒索软件等利用的漏洞。 | 13.5分以上 | 该漏洞需尽快修复。 |
中 | 该评级适用于潜在可能危及资源的机密性、完整性或可用性的缺陷。此类漏洞通常为暂无法真实可利用,但官方或互联网上披露的评级较高漏洞,建议持续关注。 | 7.1~13.5分 | 该漏洞可延后修复。 |
低 | 该评级适用于能被成功利用可能性极低或者成功利用后无实际风险的漏洞。此类漏洞通常是程序源代码中的BUG缺陷,以及对合规场景和业务性能有影响的漏洞。 | 7分以下 | 该漏洞可暂不修复。 |
漏洞修复决策方案
- 当您的资产中检测出存在多个漏洞时,可能无法确认优先修复哪个漏洞。针对这个问题,可以在漏洞管理页面,打开仅显示真实风险漏洞开关,过滤出修复优先级较高的漏洞。
云安全中心真实风险漏洞模型依据阿里云漏洞脆弱性评分系统、时间因子、实际环境因子和资产重要性因子对漏洞进行评估,结合实际攻防场景下漏洞是否可被利用(PoC、EXP)及其危害严重性,帮助您自动过滤出存在真实安全风险的漏洞。开启该功能可以帮助企业提高资产中可被黑客利用的风险漏洞的补救效率以及补救措施的有效性。
- 对于不同类型的漏洞,云安全中心建议您优先修复应急漏洞和Web-CMS漏洞,这两类漏洞均为阿里云安全工程师确认的高危漏洞。接着再修复应用漏洞、Windows系统漏洞和Linux软件漏洞。
- 您需要根据实际业务情况、服务器的使用情况以及漏洞修复可能造成的影响来判定漏洞是否需要优先修复。
漏洞修复流程
为了确保在漏洞修复过程中目标服务器系统的正常运行,降低异常情况发生的可能性,在漏洞修复过程中建议按照以下流程进行修复:
- 扫描漏洞。
- 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。在左侧导航栏,选择 。
- 在漏洞管理页面右上角,单击漏洞管理设置。
- 在漏洞管理设置面板检查漏洞管理设置,确保扫描范围能够覆盖所有服务器的各类漏洞。具体操作,请参见扫描漏洞。
- 返回漏洞管理页面,单击一键扫描。检查当前账号下所有服务器的漏洞状态,确保所检测的漏洞信息是即时的。
- 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。在左侧导航栏,选择 。
- 修复前测试。在修复漏洞前,修复人员应在测试环境中部署待修复漏洞的相关补丁,从兼容性和安全性方面进行测试,并在测试完成后编写漏洞修复测试报告。漏洞修复测试报告应包含漏洞修复情况、漏洞修复的时长、补丁本身的兼容性、漏洞修复可能造成的影响。
- 备份服务器数据。
- 修复漏洞。在目标服务器部署修复漏洞的相关补丁及执行修复操作时,应至少有两名修复人员在场,一人负责操作,另一人负责记录,防止出现误操作的情况。
- 修复后验证。修复人员验证目标服务器系统上的漏洞是否已被修复,确保漏洞已修复且目标服务器没有出现任何异常情况。
漏洞修复说明
应急漏洞、应用漏洞
Linux软件漏洞、Windows系统漏洞
云安全中心支持自动检测和一键修复Linux软件漏洞、Windows系统漏洞,建议您在登录云安全中心控制台的漏洞详情页,处理对应漏洞。关于修复漏洞的更多信息,请参见查看和处理漏洞。
资产中存在多个Linux软件漏洞时,您可以使用批量修复功能。仅Linux软件漏洞支持批量修复功能。批量修复功能会自动识别您选择的漏洞公告对应的资产,并修复这些资产中您所选择的漏洞。以下步骤介绍批量修复Linux软件漏洞的具体操作。
- 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。在左侧导航栏,选择 。
- 在漏洞管理页面的Linux软件漏洞页签,选中需要批量修复的漏洞并单击批量修复。说明 批量修复漏洞时,基于性能考虑建议一次修复的漏洞个数不超过100个。需要修复的漏洞超过100个时,可以分次创建快照并进行修复。
- 在批量修复对话框,查看云安全中心识别出的需要修复漏洞的资产列表,选择自动创建快照并修复或不建立快照备份直接修复,并单击立即修复。
如果批量修复漏洞失败,请检查服务器网络连接是否正常、磁盘空间是否已占满。具体操作,请参见Linux软件漏洞、Windows系统漏洞修复失败,是什么原因?。
Web-CMS漏洞
云安全中心支持检测并一键修复Web-CMS漏洞。Web-CMS漏洞检测功能可监控网站目录并识别通用建站软件中存在的漏洞。修复Web-CMS漏洞的操作和Linux软件漏洞类似。具体操作,请参见查看和处理漏洞。