漏洞管理是每个全面、主动和有效的Web应用程序安全解决方案/程序的核心和中心。鉴于网络犯罪的严重性、复杂性和规模不断增加，漏洞管理是不容妥协的。临时和准备不充分的漏洞管理程序可能对您的应用程序/网站有害。因此，我们汇集了一组最佳实践来帮助您正确处理并保持领先地位。

漏洞管理(VM)是在Web应用程序/网站中识别、报告、确定优先级和补救安全风险（漏洞、差距、漏洞、错误配置等）的持续一致的过程。此过程的主要目的是将风险概况降至最低并加强网站/网络应用程序的安全态势。

未雨绸缪，建立KPI

与任何其他业务项目一样，您必须从规划和制定战略开始，然后建立关键绩效指标(KPI)。KPI指导您的安全团队，使您能够制定切实可行的工作目标，此外还能让您评估漏洞管理软件/解决方案产生的投资回报率。一些好的KPI包括：

了解弹性攻击面并为之做好准备

当今的应用程序越来越无边界、互连、复杂和动态，具有多个移动部件、第三方和开源组件、多个层和复杂的集成。这意味着仅扫描和评估传统网络基础设施毫无意义。您必须在VM中包含您的弹性攻击面，为此您需要了解此攻击面的不同组件。组件除了传统的网络资产外，主要包括Web应用、云实例、容器、移动设备、物联网设备等。利用Indusface漏洞管理等下一代智能解决方案，您可以无缝地全面了解弹性攻击面及其多层。

在VM的发现阶段，您通常会绘制并识别所有数字资产、系统、附属和第三方系统和流程、IT基础设施、设备、应用程序、服务器、数据库、内容管理系统、开发框架、端口等。并收集有关网络基础设施的所有可能信息，以全面了解您企业的IT资产以及每项资产的重要性。

仅仅建立一次数据库并保持原样是不够的。您的VM数据库和整个安全状况仅与上次更新数据时一样好。因此，您必须不断刷新VM数据库。

最新的威胁情报

它有助于确定漏洞的优先级和先发制人的补丁，以防止基于全球威胁形势的威胁。IndusfaceVulnerabilityManagement配备了GlobalThreatIntelligence，使组织能够进行智能和深度爬网和扫描，同时极大地降低风险。

利用自动化

自动化带来的敏捷性对于增强漏洞管理流程至关重要。Indusface提供的智能全面扫描解决方案可确保您获得最佳覆盖范围，以发现风险并将风险降至最低。例如，Indusface漏洞扫描工具利用渗透测试、WAF和全球威胁情报数据库的洞察力，主动并自动将未爬网区域纳入扫描和测试。

报告，报告，报告！

在VM过程的扫描和发现阶段之后生成详细报告是不可协商的。

优先级决定一切：优先级评级很有用

随着威胁和漏洞的数量不断增加，解决每一个漏洞几乎是不可能的，因此，在VM过程中确定优先级是必不可少的。必须利用威胁情报数据库、扫描和发现报告等来创建优先级矩阵和评级。可以进一步分析这些矩阵和评级以进入补救阶段。请记住，通用/通用格式不能用于确定优先级。优先级评级和矩阵必须根据组织/应用程序/网络的上下文进行定制。

与其他安全解决方案和流程集成

请记住，漏洞管理只是应用程序和网络安全的起点。因此，它需要成为综合解决方案的一部分。