?

基于风险的漏洞管理是合规的必备

漏洞管理与合规相辅相成。正如遵循特定监管标准有助于有效管理漏洞,有效管理漏洞也有助于规避可致违规的安全事件。

漏洞

但鉴于不同监管机构标准不同,既有效且合规的漏洞管理对不同组织机构而言可能意味着不同的东西。但有一个例外:风险!所有标准都强调了风险!具体有:

PCI DSS 要求 6.1 声明:公司企业必须 “设立漏洞发现过程,并为新发现的安全漏洞赋予风险评分。”

GDPR 第 32 条要求:实现 “恰当的技术性或组织性措施以确保适合风险情况的安全水平。”

HIPAA 安全规则强制要求:“评估电子健康信息的机密性、完整性和可用性所面临的潜在风险与漏洞。”

GLBA 安全规定要求:公司企业须 “识别并评估客户信息风险,评估当前风险控制安全措施的有效性。”

很多监管标准都要求评估风险并以此做出恰当响应才能达成并维持合规,以上几条不过摘录一二而已。在漏洞管理语境下,如 PCI DSS 要求 6.1 所述,合规就意味着基于风险给漏洞排序并修复。

但由于漏洞对各家公司意义不同,要做到按风险管理漏洞并不容易。准确评估首先要确定:

漏洞武器化的概率有多高;

如果武器化,对特定公司的影响是什么。

想要确定这几个变量,以下建议可供参考:

1. 了解资产情况

可能影响关键资产的漏洞绝对要优先修复。对大多数企业而言,关键资产包括但不局限于适用于一个或多个安全合规要求的那些。比如说,受 HIPAA 管辖的公司企业就要特别关注含有个人健康信息的资产;PCI DSS 辖下公司应重视支付卡数据;GDPR 监管下的公司企业还要将用户数据也纳入重点关注对象。

识别出关键资产后,还要确定并记录下其存储、处理、管理和可能被破坏的方式。与这些资产相关联的技术有哪些?怎么连接的?哪些用户可以出于哪种目的访问这些资产?哪些人可能会想破坏/泄露这些资产?为什么?这些资产一旦被破坏/泄露,会造成什么后果?此类问题的答案有助于识别、分类和排序可能影响这些资产的潜在漏洞。

2. CVSS评分不代表一切

排序修复动作时最常犯的一个错误,是将通用漏洞评分系统 (CVSS) 的分数等同于风险值。尽管 CVSS 评分能反映出漏洞本质和漏洞武器化后的可能行为方式,但这些都是标准化的,并不能反映出上述两个决定漏洞特定风险值的变量——武器化概率和针对公司的特定潜在影响。

事实上,2014 年针对 CVSS 评分的研究就发现,“仅根据 CVSS 评分高低修复漏洞,无异于随机拣取漏洞修复。” 该研究还发现,尽管漏洞的 CVSS 评分似乎与其武器化概率并无关联,但有其他因素与之相关,包括:是否存在漏洞利用概念验证代码,深网论坛、暗网市场等非法在线社区是否提到该漏洞利用代码等。

鉴于绝大多数通用漏洞与暴露 (CVE) 从未武器化,该研究的结论具有一定实际意义。高 CVSS 评分的 CVE 只有在恶意黑客能武器化的时候才是真正的威胁。但要武器化漏洞,黑客首先得确定武器化方法,而这通常都需要概念验证 (POC) 代码。使用或开发 POC 代码的过程往往包含大量试错。若不在深/暗网和其他非法在线社区中与别的黑客交流,多数黑客一般是搞不定的。

换句话说,无论 CVSS 评分是高是低,评估漏洞时都需要将是否存在 POC 代码和相关黑客讨论作为重要风险因素加以考量。

3. 风险评估框架

出于修复排序目的的风险评估过程优化可以考虑采用评估框架。现成的风险评估框架有很多,其中一些还是特定监管机构强制要求或建议采用的,这些现成的框架都能帮助安全团队更有效地评估、排序和管理不同风险。

但无论采用哪种框架,都需要根据公司特定环境和风险因素加以实现。也就是说,你需要统计资产,评估资产被黑的潜在影响, 判断漏洞武器化概率。无论有没有应用漏洞风险评估框架,缺了上述信息都无法准确评估漏洞对公司的特定风险。

除此之外,还需谨记:虽然合规不应是安全项目的最终目标,但各个合规要求都强调风险必然是有原因的。有效管理漏洞,尤其是合理排序修复动作,只有基于风险才是可行的。

针对 CVSS 评分的研究报告原文:

https://www.researchgate.net/publication/270697273_Comparing_Vulnerability_Severity_and_Exploits_Using_Case-Control_Studies

【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

相关推荐
新闻聚焦
猜你喜欢
热门推荐
  • 微软AI面试题有多难?这里有一份样卷

      究竟什么样的AI人才能被微软这样的巨头聘用呢?今天,文摘君就淘来了几道微软AI 面试题,同时给出了最基本的解答......

    06-25????来源:澎湃新闻网

    分享
  • 全球最聪明的大脑怎么看AI?他们预测了

      2017年AI领域取得了诸多成果。2018年AI又将何去何从?以下是来自世界顶级研究人员和行业领军人物对2018年AI领域发展作......

    02-20????来源:虎嗅网

    分享
  • 2017JavaScript框架战报 - React分战场

      我们来看看与React有关的软件包的生态系统。当Facebook构建React时,就有许多来自开源社区的第三方软件包。为提供完......

    02-27????来源:湖北新闻网

    分享
  • 小白学数据:教你用Python实现简单监督学

      监督学习作为运用最广泛的机器学习方法,一直以来都是从数据挖掘信息的重要手段。即便是在无监督学习兴起的近......

    03-05????来源:今日头条

    分享
  • 现代编程语言Swift、Kotlin等十大有趣功能

      最近学习了一些现代编程语言,比如Reason,Swift,Kotlin和Dart。这些编程语言提供了许多新功能,本文主要分享了我认......

    04-29????来源:祁东新闻网

    分享
  • 领域场景分析的6W模型

      组成场景的要素常常被称之为6W模型,即描写场景的过程必须包含Who,What,Why,Where,When与hoW这六个要素。......

    04-30????来源:砍柴网

    分享
  • 开源应用服务器WildFly 12发新季度交付模式

      WildFly 12 Final版本现在已经可以下载了,WildFly是一款灵活的开源应用服务器,支持开发人员构建轻量级应用程序。支持......

    05-10????来源:青岛新闻网

    分享
  • 基于Spring Cloud的微服务落地

      微服务架构模式的核心在于如何识别服务的边界,设计出合理的微服务。但如果要将微服务架构运用到生产项目上,......

    06-04????来源:广西新闻网

    分享
  • 为什么阿里工程师纷纷在内网晒代码?

      前阵子,在阿里一个小黑屋里,5名对代码有着极致追求的工程师参与阿里代码领域最高荣誉“多隆奖”的最终角逐。......

    06-08????来源:四川新闻网

    分享
  • 超级大汇总!200多个最好的机器学习、

      我把这篇文章分为了四个部分:机器学习,自然语言处理,python和数学。在每个部分中我都列举了一些主题,但是因......

    09-25????来源:洛阳新闻网

    分享
返回列表
Ctrl+D?将本页面保存为书签,全面了解最新资讯,方便快捷。