“择需”修复,引入资产业务价值维度判定漏洞修复优先级
2021-05-08 11:59:17 来源:
在过去的10年里,每年新增的漏洞数量都在增长,丝毫未见衰减的趋势。网络安全行业权威的CVE漏洞库报告显示,目前累计已披露的漏洞数量已经...
图片来源于Security Intelligenc:Top 10 Cybersecurity Vulnerabilities of 2020
那么,在有限的安全资源投入情况下,判定漏洞修复的优先级就变成了一个需要慎重考虑的问题。我们如何识别哪些漏洞需要优先修复? 究竟需要从哪些维度,以什么计量单位来计算漏洞的修复优先级?
安全行业权威的漏洞优先级评估框架:CVSS
安全行业内通用的做法是参考或者直接使用漏洞的CVSS分值,通过CVSS分值来确定漏洞修复的优先级。在CVSS 3.0版本中,漏洞的CVSS值取决于三个重要的维度:•基本属性(Base)
•时间(Temporal)
•环境(Environmental)
通过综合计算这三个属性值,最后得出最终分数。在这三个属性中,基本属性(Base)通常由漏洞的可利用性和后果严重程度来决定,不会随时间或者外界因素而变化。时间(Temporal)属性通常会增加漏洞的暴露范围和潜在可利用性。而环境(Environmental)则根据漏洞所处的资产环境进行判定。
大量的漏洞工具实际上并没有真正使用CVSS框架计算漏洞修复优先级
从CVSS的模型理论框架上来看,并没有问题。但是,在实际的漏洞管理工作中, 漏洞环境因素是与资产紧密相关的,如果没有办法判断资产的环境、属性、网络位置,那么计算出来的结果一定是不够准确的。 而市场上大部分的漏洞扫描工具并不能精准的发现和识别资产,更谈不上对资产的风险进行准确计算了。
大部分漏洞扫描工具都是直接使用NVD给出的漏洞CVSS分值,而这个最终分值实际上只能体现漏洞自身所带来的威胁情况,远不能反映真实情况。
并且,按照CVSS的计算模型,只要最终分值超过7.0就会变成高危漏洞,而高危漏洞一般都是需要快速修复的,这就造成了实际工作中待修复漏洞数量急剧上升,给安全管理人员带来极大的压力。
Gartner:从4个维度进行漏洞修复优先级评估
Garter的研究结果显示,如果要真实反应漏洞的风险程度,需要结合漏洞和资产两个因素综合考虑,尤其要考虑资产的业务价值。图片来源于Gartner
在评估资产的业务价值时,首先需要考虑资产的暴露面情况。 面向公网的资产比内网的资产面临的攻击风险程度要高的多。毫无疑问,如果同一个漏洞出现在面向公网的资产和内网资产上,如果一定要选一个优先修复,那么我们当然会选择先修复面向公网的资产,将内网资产的修复工作稍稍延后。
其次,资产被攻击对业务造成的影响有多大,也需要企业从实际业务角度来定义。同一个漏洞, 在一台域主机和一台普通的内网服务器上被黑客利用攻击成功后造成的后果是截然不同的。 如果是域主机被攻陷,很可能会造成几十上百台机器同时被攻陷。
有了资产维度的考虑,再加上对威胁情报,漏洞被利用以后的后果严重程度,可利用性作为参数。基本上就可以全面的反应出漏洞的真实风险,也就能够相对比较准确的计算出漏洞的修复优先级了。
华云安提供的漏洞修复优先级评估模型
华云安,作为CNNVD的优秀技术支撑单位,推出了全新的漏洞修复优先级评估计算模型。 在这个评估模型中,除了引用漏洞自身危害性,漏洞扩散范围,漏洞情报以外(详见图2),还引入了资产维度。在资产维度,华云安综合考虑了设备的类型、设备具备的能力,以及设备所起到的作用三个维度,并对每一个维度进行相应评分(详见图1)。图1. 资产维度部分评分参数
图2. 漏洞维度部分评分参数
我们可以看到,华云安的整个漏洞修复优先级评分模型中,不仅完善的涵盖了CVSS框架中所列举的环境和时间维度,而且引入了资产的业务价值作为计算因子,并允许用户在实际应用过程中对资产的价值进行动态调整,从而进一步校准漏洞优先级评分,使其反映真实的风险情况,从而能够有效的帮助用户识别真正高危的漏洞风险,在有限的安全资源投入情况下,实现投入产出比的最大化。