云安全中心提供漏洞管理功能,支持扫描和修复常见漏洞类型,帮助全面了解并及时修复资产中的漏洞风险。本文介绍漏洞扫描修复的优先级、流程及使用云安全中心修复漏洞的最佳实践。
漏洞修复优先级
漏洞修复的优先级由以下因素决定:
-
技术影响
-
利用成熟度(PoC、EXP、蠕虫或病毒工具化)
-
风险威胁(服务器权限是否失陷)
-
受影响数量级(互联网受影响IP量级决定漏洞被黑客关注的程度)
云安全中心提供的漏洞修复紧急度得分计算模型可以评估漏洞修复的紧急程度,帮助确定修复优先级。关于该模型的更多信息,请参见漏洞修复紧急度得分计算模型。
漏洞修复决策方案
-
当资产中检测出多个漏洞且无法确认优先修复顺序时,可在漏洞管理页面,打开仅显示真实风险漏洞开关,过滤出修复优先级较高的漏洞。
云安全中心的真实风险漏洞模型依据阿里云漏洞脆弱性评分系统、时间因子、实际环境因子和资产重要性因子对漏洞进行评估,结合实际攻防场景下漏洞是否可被利用(PoC、EXP)及其危害严重性,帮助自动过滤出存在真实安全风险的漏洞。开启该功能可以帮助企业提高可被黑客利用的风险漏洞的修复效率。
-
对于不同类型的漏洞,云安全中心建议优先修复待修复应急漏洞和Web-CMS漏洞,这两类漏洞均为阿里云安全工程师确认的高危漏洞。接着再修复应用漏洞、Windows系统漏洞和Linux软件漏洞。
-
需要根据实际业务情况、服务器的使用情况以及漏洞修复可能造成的影响来判定漏洞是否需要优先修复。
漏洞修复流程
为确保漏洞修复过程中目标服务器正常运行,降低异常风险,建议按照以下流程进行修复:
-
扫描漏洞。
- 登录云安全中心控制台。在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
- 在漏洞管理页面右上角,单击漏洞管理设置。
- 在漏洞管理设置面板检查漏洞管理设置,确保扫描范围能够覆盖所有服务器的各类漏洞。具体操作,请参见漏洞管理设置。
- 返回漏洞管理页面,单击一键扫描。
检查当前账号下所有服务器的漏洞状态,确保所检测的漏洞信息是即时的。
-
修复前测试。
说明
在修复漏洞前,修复人员应在测试环境中部署待修复漏洞的相关补丁,从兼容性和安全性方面进行测试,并在测试完成后编写漏洞修复测试报告。漏洞修复测试报告应包含漏洞修复情况、漏洞修复的时长、补丁本身的兼容性、漏洞修复可能造成的影响。
- 备份服务器数据。
-
修复漏洞。
说明
在目标服务器部署修复漏洞的相关补丁及执行修复操作时,应至少有两名修复人员在场,一人负责操作,另一人负责记录,防止出现误操作的情况。
-
修复后验证。
说明
修复人员验证目标服务器系统上的漏洞是否已被修复,确保漏洞已修复且目标服务器没有出现任何异常情况。
漏洞修复说明
应急漏洞、应用漏洞
云安全中心只支持检测应急漏洞、应用漏洞并提供修复建议,不支持一键修复。需要根据漏洞详情中提供的修复建议,登录受影响服务器手动修复漏洞。
Linux软件漏洞、Windows系统漏洞
云安全中心支持自动检测和一键修复Linux软件漏洞、Windows系统漏洞,建议在云安全中心控制台的漏洞详情页,处理对应漏洞。关于修复漏洞的更多信息,请参见修复漏洞。
资产中存在多个Linux软件漏洞时,可使用批量修复功能。仅Linux软件漏洞支持批量修复功能。批量修复功能会自动识别选择的漏洞公告对应的资产,并修复这些资产中所选择的漏洞。以下步骤介绍批量修复Linux软件漏洞的具体操作。
- 登录云安全中心控制台。在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
-
在漏洞管理页面的Linux软件漏洞页签,选中需要批量修复的漏洞并单击批量修复。
说明
批量修复漏洞时,基于性能考虑建议一次修复的漏洞个数不超过100个。需要修复的漏洞超过100个时,可以分次创建快照并进行修复。
- 在批量修复对话框,查看云安全中心识别出的需要修复漏洞的资产列表,选择自动创建快照并修复或不建立快照备份直接修复,并单击立即修复。
如果批量修复漏洞失败,请检查服务器网络连接是否正常、磁盘空间是否已占满。具体操作,请参见Linux软件漏洞、Windows系统漏洞修复失败,是什么原因?。
Web-CMS漏洞
云安全中心支持检测并一键修复Web-CMS漏洞。Web-CMS漏洞检测功能可监控网站目录并识别通用建站软件中存在的漏洞。修复Web-CMS漏洞的操作和Linux软件漏洞类似。具体操作,请参见修复Linux软件漏洞。