“擇需”修復,引入資產(chǎn)業(yè)務價值維度判定漏洞修復優(yōu)先級

  • 人閱讀
  • 2021-05-06 17:42:00

  • 來源:北國網(wǎng)

  • 相關關鍵詞

在過去的10年里,每年新增的漏洞數(shù)量都在增長,絲毫未見衰減的趨勢。網(wǎng)絡安全行業(yè)權威的CVE漏洞庫報告顯示,目前累計已披露的漏洞數(shù)量已經(jīng)達到了15萬之多。在可預見的未來5-10年內(nèi),IT和安全部門不得不面臨的一個現(xiàn)實是:漏洞數(shù)量多且?guī)淼娘L險將會長期存在,無法將巨大的資源投入到漏洞修復里來,需要以“擇需”的視角引入漏洞的評判標準。

“擇需”修復,引入資產(chǎn)業(yè)務價值維度判定漏洞修復優(yōu)先級

圖片來源于Security Intelligenc:Top 10 Cybersecurity Vulnerabilities of 2020

那么,在有限的安全資源投入情況下,判定漏洞修復的優(yōu)先級就變成了一個需要慎重考慮的問題。我們?nèi)绾巫R別哪些漏洞需要優(yōu)先修復? 究竟需要從哪些維度,以什么計量單位來計算漏洞的修復優(yōu)先級?

安全行業(yè)權威的漏洞優(yōu)先級評估框架:CVSS

安全行業(yè)內(nèi)通用的做法是參考或者直接使用漏洞的CVSS分值,通過CVSS分值來確定漏洞修復的優(yōu)先級。在CVSS3.0版本中,漏洞的CVSS值取決于三個重要的維度:

•基本屬性(Base)

時間(Temporal)

環(huán)境(Environmental)

通過綜合計算這三個屬性值,最后得出最終分數(shù)。在這三個屬性中,基本屬性(Base)通常由漏洞的可利用性和后果嚴重程度來決定,不會隨時間或者外界因素而變化。時間(Temporal)屬性通常會增加漏洞的暴露范圍和潛在可利用性。而環(huán)境(Environmental)則根據(jù)漏洞所處的資產(chǎn)環(huán)境進行判定。

大量的漏洞工具實際上并沒有真正使用CVSS框架計算漏洞修復優(yōu)先級

從CVSS的模型理論框架上來看,并沒有問題。

但是,在實際的漏洞管理工作中, 漏洞環(huán)境因素是與資產(chǎn)緊密相關的,如果沒有辦法判斷資產(chǎn)的環(huán)境、屬性、網(wǎng)絡位置,那么計算出來的結果一定是不夠準確的。 而市場上大部分的漏洞掃描工具并不能精準的發(fā)現(xiàn)和識別資產(chǎn),更談不上對資產(chǎn)的風險進行準確計算了。

大部分漏洞掃描工具都是直接使用NVD給出的漏洞CVSS分值,而這個最終分值實際上只能體現(xiàn)漏洞自身所帶來的威脅情況,遠不能反映真實情況。

并且,按照CVSS的計算模型,只要最終分值超過7.0就會變成高危漏洞,而高危漏洞一般都是需要快速修復的,這就造成了實際工作中待修復漏洞數(shù)量急劇上升,給安全管理人員帶來極大的壓力。

Gartner:從4個維度進行漏洞修復優(yōu)先級評估

Garter的研究結果顯示,如果要真實反應漏洞的風險程度,需要結合漏洞和資產(chǎn)兩個因素綜合考慮,尤其要考慮資產(chǎn)的業(yè)務價值。

“擇需”修復,引入資產(chǎn)業(yè)務價值維度判定漏洞修復優(yōu)先級

圖片來源于Gartner

在評估資產(chǎn)的業(yè)務價值時,首先需要考慮資產(chǎn)的暴露面情況。 面向公網(wǎng)的資產(chǎn)比內(nèi)網(wǎng)的資產(chǎn)面臨的攻擊風險程度要高的多。毫無疑問,如果同一個漏洞出現(xiàn)在面向公網(wǎng)的資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)上,如果一定要選一個優(yōu)先修復,那么我們當然會選擇先修復面向公網(wǎng)的資產(chǎn),將內(nèi)網(wǎng)資產(chǎn)的修復工作稍稍延后。

其次,資產(chǎn)被攻擊對業(yè)務造成的影響有多大,也需要企業(yè)從實際業(yè)務角度來定義。同一個漏洞, 在一臺域主機和一臺普通的內(nèi)網(wǎng)服務器上被黑客利用攻擊成功后造成的后果是截然不同的。 如果是域主機被攻陷,很可能會造成幾十上百臺機器同時被攻陷。

有了資產(chǎn)維度的考慮,再加上對威脅情報,漏洞被利用以后的后果嚴重程度,可利用性作為參數(shù)?;旧暇涂梢匀娴姆磻雎┒吹恼鎸嶏L險,也就能夠相對比較準確的計算出漏洞的修復優(yōu)先級了。

華云安提供的漏洞修復優(yōu)先級評估模型

華云安,作為CNNVD的優(yōu)秀技術支撐單位,推出了全新的漏洞修復優(yōu)先級評估計算模型。 在這個評估模型中,除了引用漏洞自身危害性,漏洞擴散范圍,漏洞情報以外(詳見圖2),還引入了資產(chǎn)維度。在資產(chǎn)維度,華云安綜合考慮了設備的類型、設備具備的能力,以及設備所起到的作用三個維度,并對每一個維度進行相應評分(詳見圖1)。

“擇需”修復,引入資產(chǎn)業(yè)務價值維度判定漏洞修復優(yōu)先級

圖1. 資產(chǎn)維度部分評分參數(shù)

“擇需”修復,引入資產(chǎn)業(yè)務價值維度判定漏洞修復優(yōu)先級

圖2. 漏洞維度部分評分參數(shù)

我們可以看到,華云安的整個漏洞修復優(yōu)先級評分模型中,不僅完善的涵蓋了CVSS框架中所列舉的環(huán)境和時間維度,而且引入了資產(chǎn)的業(yè)務價值作為計算因子,并允許用戶在實際應用過程中對資產(chǎn)的價值進行動態(tài)調(diào)整,從而進一步校準漏洞優(yōu)先級評分,使其反映真實的風險情況,從而能夠有效的幫助用戶識別真正高危的漏洞風險,在有限的安全資源投入情況下,實現(xiàn)投入產(chǎn)出比的最大化。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )