通用漏洞評(píng)分系統(tǒng)(CVSS)評(píng)分已被視為確定漏洞優(yōu)先級(jí)的主要標(biāo)準(zhǔn)。漏洞的CVSS分?jǐn)?shù)范圍從1到10(10分最嚴(yán)重)。然而,它們卻從沒打算被用作確定漏洞優(yōu)先級(jí)。如果您僅依靠CVSS評(píng)分來保護(hù)您的組織,那么您可能用錯(cuò)了,一起來看看原因吧。
由于CVSS是一個(gè)行業(yè)公開標(biāo)準(zhǔn),面對(duì)持續(xù)激增的漏洞,組織更傾向于依靠CVSS評(píng)分來確定優(yōu)先級(jí)。但是CVSS評(píng)分也存在很多問題。例如,在組織中,通常將嚴(yán)重程度得分超過7的漏洞都視為高風(fēng)險(xiǎn)。每年發(fā)現(xiàn)的總漏洞中有很大一部分屬于此類別。
微軟2019年發(fā)布的787個(gè)通用漏洞披露(CVE)中,有731個(gè)漏洞的嚴(yán)重程度為7分或7分以上。
這些中只有一小部分會(huì)在網(wǎng)絡(luò)攻擊中被利用。因?yàn)閷?duì)漏洞的利用是基于攻擊者可以利用其獲取利益,換句話說,攻擊者可以利用其對(duì)組織造成影響。漏洞利用的技術(shù)可行性以及概念驗(yàn)證的公開可用性等因素也影響黑客對(duì)漏洞利用的決定。
CVSS分?jǐn)?shù)將在發(fā)現(xiàn)漏洞后的兩周內(nèi)評(píng)定,并且不會(huì)再修改。有時(shí),嚴(yán)重程度較低的漏洞在披露后被廣泛利用,而從未反映在CVSS評(píng)分中。
你知道嗎?在2019年報(bào)告的針對(duì)MicrosoftWindows操作系統(tǒng)及其應(yīng)用程序的12個(gè)被廣泛利用的漏洞中,有9個(gè)僅被分類為重要,而不是關(guān)鍵漏洞。
僅基于CVSS和嚴(yán)重程度等級(jí)確定漏洞優(yōu)先級(jí)的組織,將處理大量被分類為嚴(yán)重但實(shí)際幾乎沒有風(fēng)險(xiǎn)的漏洞,這就失去了對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序的意義。結(jié)果就是,大量的精力被分散到很少利用的漏洞上,而需要立即關(guān)注的重要漏洞仍然暴露。這將會(huì)給你一種錯(cuò)誤的安全感。
要使漏洞管理付出的努力與回報(bào)成正比,組織應(yīng)采用多維度的、基于風(fēng)險(xiǎn)的優(yōu)先級(jí)排序方法,優(yōu)化基于CVSS評(píng)分得出的評(píng)估,評(píng)估維度包括:暴露時(shí)間、利用可用性、當(dāng)前利用活動(dòng)、受影響的資產(chǎn)數(shù)量、受影響的資產(chǎn)關(guān)鍵性、影響類型和補(bǔ)丁可用性。
現(xiàn)在,我們已經(jīng)建立了嚴(yán)格評(píng)估您的風(fēng)險(xiǎn)所必需的變量,我們來探討一下如何聚焦關(guān)鍵漏洞并采取最佳實(shí)踐。
了解漏洞的可用性和漏洞活動(dòng)
知道某個(gè)漏洞是否公開可用對(duì)于漏洞優(yōu)先級(jí)的確認(rèn)至關(guān)重要。無論嚴(yán)重程度如何,這些都是需要立即注意的漏洞,因?yàn)檫@些漏洞很容易被利用,任何人都可以利用其侵入您的網(wǎng)絡(luò)并竊取敏感數(shù)據(jù)。
安全團(tuán)隊(duì)?wèi)?yīng)該積極利用最新披露的漏洞,保持對(duì)攻擊者活動(dòng)的最新了解,并將注意力和精力集中在解決高危漏洞上。
將受影響的資產(chǎn)數(shù)量和關(guān)鍵性列入漏洞優(yōu)先級(jí)排序
資產(chǎn)的重要程度是不同的。比如Web服務(wù)器位于您網(wǎng)絡(luò)的外圍并且暴露于Internet,很容易成為黑客的目標(biāo)。定義評(píng)估范圍時(shí),數(shù)據(jù)庫服務(wù)器(記錄著大量信息,如客戶的個(gè)人信息和付款明細(xì))也應(yīng)優(yōu)先于其他資產(chǎn),因?yàn)閷?duì)于像這樣的關(guān)鍵業(yè)務(wù)資產(chǎn)來說,即使是漏洞級(jí)別較低的漏洞也可能造成高風(fēng)險(xiǎn)損失。
此外,如果發(fā)現(xiàn)中等到關(guān)鍵級(jí)別的漏洞正在影響較大比例的IT資產(chǎn),則必須立即對(duì)其進(jìn)行修補(bǔ)以降低總體風(fēng)險(xiǎn)。在這種情況下,一個(gè)能夠使用單個(gè)補(bǔ)丁部署任務(wù)就消除多個(gè)終端中的漏洞的漏洞管理工具,就顯得尤為重要。
確定漏洞在終端潛伏了多長時(shí)間
一旦發(fā)現(xiàn)漏洞,安全團(tuán)隊(duì)和攻擊者之間爭(zhēng)分奪秒的競(jìng)賽就開始了。確定高危漏洞在您的終端中潛伏了多長時(shí)間至關(guān)重要。讓漏洞長時(shí)間駐留在您的網(wǎng)絡(luò)中就代表著脆弱的安全體系架構(gòu)。
一開始看起來似乎不那么嚴(yán)重的漏洞,隨著時(shí)間的推移,可能會(huì)變得致命,因?yàn)楣粽咦罱K會(huì)開發(fā)出可以利用這些漏洞的程序。最佳實(shí)踐是立即解決已知漏洞或被積極利用的漏洞,然后解決標(biāo)記為關(guān)鍵的漏洞。歸類為重要的漏洞通常較難利用,但一般來說,應(yīng)在30天內(nèi)修復(fù)。
根據(jù)影響類型分類漏洞
盡管利用的易用性在風(fēng)險(xiǎn)評(píng)估中占著很大比重,但可利用的漏洞并不一定就會(huì)受到攻擊。實(shí)際上,攻擊者選擇要利用的漏洞,并不會(huì)僅因?yàn)槁┒纯捎没虮阌诠簦麄兝寐┒醋罱K是要達(dá)成目標(biāo)。只有在這樣的前提下,才會(huì)考慮漏洞的可用性和易用性。
漏洞的影響可能包括但不限于拒絕服務(wù)、遠(yuǎn)程代碼執(zhí)行、內(nèi)存損壞、特權(quán)提升、跨站點(diǎn)腳本和敏感數(shù)據(jù)泄露。更令人頭疼的是蠕蟲級(jí)漏洞,該漏洞使得任何將要利用它們的惡意軟件都可以在無需用戶干預(yù)的情況下,從一個(gè)易受攻擊的計(jì)算機(jī)傳播到另一個(gè)易受攻擊的計(jì)算機(jī)。
使用基于上述風(fēng)險(xiǎn)因素分析漏洞的解決方案,可以幫助您更好地分類漏洞,并為組織采取合適的安全措施。ManageEngineVulnerabilityManagerPlus,一個(gè)由優(yōu)先級(jí)驅(qū)動(dòng)的威脅和漏洞管理解決方案,為您完美解決以上漏洞問題。點(diǎn)擊“閱讀原文”,查看演示,并獲取ManageEngine30天免費(fèi)的VulnerabilityManagerPlus,開始您的漏洞評(píng)估體驗(yàn)吧!
