NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

信息和系统的安全分类指导漏洞监控的频率和全面性（包括扫描）。组织确定系统组件所需的漏洞监控，确保潜在的漏洞来源——如基础设施组件（例如交换机、路由器、防护设备、传感器）、联网打印机、扫描仪和复印机——不会被忽视。随着新漏洞的发现和公布以及新扫描方法的开发，能够及时更新漏洞监控工具有助于确保所使用的漏洞监控工具不会漏掉新漏洞。漏洞监控工具的更新过程有助于确保系统中潜在的漏洞能够尽快被识别和处理。定制软件的漏洞监控和分析可能需要额外的方法，例如静态分析、动态分析、二进制分析或三者的混合方法。组织可以在源代码审查中使用这些分析方法，并在各种工具中应用，包括基于网页的应用扫描器、静态分析工具和二进制分析器。漏洞监控包括扫描补丁等级；扫描不应对用户或设备开放的功能、端口、协议和服务；以及扫描配置不当或运行异常的流量控制机制。漏洞监控还可能包括使用检测工具的持续漏洞监控，这些工具通过检测来持续分析组件。基于仪器的工具可能提高准确性，并且可以在整个组织中运行而无需扫描。促进互操作性的漏洞监控工具包括经过安全内容自动化协议（SCAP）验证的工具。因此，组织考虑使用以通用漏洞与披露（CVE）命名规范表示漏洞的扫描工具，并使用开放漏洞评估语言（OVAL）来确定漏洞的存在。漏洞信息来源包括通用缺陷枚举（CWE）列表和国家漏洞数据库（NVD）。控制评估，例如红队演练，提供了额外的潜在漏洞来源供扫描。组织还会考虑使用通过通用漏洞评分系统（CVSS）表示漏洞影响的扫描工具。漏洞监控包括一个渠道和流程，用于接收来自公众的安全漏洞报告。漏洞披露程序可以非常简单，只需发布一个受监控的电子邮件地址或网页表单来接收报告，包括授权善意研究和披露安全漏洞的通知。组织通常预计此类研究无论是否经过其授权都会进行，并且可以使用公共漏洞披露渠道来增加已发现漏洞直接报告给组织进行修复的可能性。组织还可以利用财务激励（也称为“漏洞赏金”）来进一步鼓励外部安全研究人员报告发现的漏洞。漏洞赏金计划可以根据组织的需求进行定制。赏金计划可以无限期运行，也可以在指定的时间段内进行，并且可以向公众或特定群体提供。组织可以同时开展公开和私密奖励活动，并且可以选择向某些参与者提供部分授权访问，以便从特权角度评估安全漏洞。