Được hiểu là điểm yếu trong hệ thống (phần cứng và phần mềm), quy trình hoặc thậm chí là con người, mà tác nhân đe dọa có thể lợi dụng (khai thác) để xâm nhập, gây hại, hoặc truy cập trái phép vào dữ liệu.
Nếu threat là khả năng gây hại, thì vulnerability là điểm yếu cho phép sự gây hại đó xảy ra.
Đánh giá về bảo mật của hệ thống, quy trình hoặc thậm chí là con người về khả năng đáp ứng các yêu cầu tuân thủ (compliance).
Trường hợp, đối tượng đánh giá là hệ thống nên sẽ dựa trên trạng thái cấu hình của hệ thống, các ứng dụng và dịch vụ đang chạy trên nó. được thể hiện bằng thông tin thu thập được từ các máy quét lổ hổng.
| Infrastructure | Nessus, Rapid7 Nexpose, Qualys, OpenVAS, Nmap + script |
|---|---|
| WebApp | Burp suite pro, OWASP ZAP. |
| Cloud | Cyber Security Assessment Tool (CSAT), MIcrosoft Vulnerability Management (MVM) |
Có 2 kiểu triễn khai cho hệ thống quét truyền thống
Server-based Scaner là kiểu 1 hoặc 1 vài server chạy chương trình quét lổ hổng, chủ động gửi các gói tin để các thiết bị mục tiêu để thu thập thông tin.
Agent-based Scaner là kiểu cài đặt agent trên các thiết bị mục tiêu, các agent sẽ được cấu hình định kỳ gửi các thông tin về lổ hổng của các thiết bị mục tiêu về 1 server.
Ngày nay, chúng ta có nhiều cloud-based solutions cho việc quản lý Vulnerability như Microsoft Vulnerability Management (MVM). Mọi thông tin CVE sẽ được hiện thị sau 3-4 tiếng onboarding với MVM và CVE sẽ được cập nhật Real-Time và móc nối tới các Devices liên quan với CVE đó, tăng khả năng phát hiện và xử lý.
Vulnerability & Patching report