特定利益相关者漏洞分类法

admin 2023年3月15日03:51:16评论24 views字数 2144阅读7分8秒阅读模式

特定利益相关者漏洞分类法

一旦确定了优先级,组织就能够有针对性地通过修复最为关键的漏洞来降低风险。其中WAF解决方案就是一种选择。当然组织也可以考虑通过其他类型的虚拟补丁来降低风险。

为什么要对漏洞进行分类

如今,大多数组织都面临着来自不同方面的海量漏洞。小到人为失误,大到嵌入在应用程序中的开源代码“后门”。如果不进行漏洞分类,那么该组织将无从得知:自己会在何时遭到攻击,以及会遭受哪些方面的攻击。

通过分类,组织可以区分出高危漏洞和低风险漏洞,从而快速识别出哪些威胁需要率先处理。在海量的漏洞中,许多漏洞是不会对组织构成威胁的,更不会直接危害到组织系统。反过来,另一些漏洞就非常容易被黑客所利用,急需得到补救。

组织应尽可能地将其有限的资源投入到较高风险的漏洞修复中去。高风险漏洞对于攻击者来说,成功率更高,更具有实际价值,所以更容易被黑客所利用。但另一方面,这些漏洞会给组织带来致命打击,或使得组织成为供应链攻击中的载体。

反之,组织中的低风险漏洞的利用难度高,被攻击者利用的可能性低,所以对它们的修复可以安排在高风险漏洞之后。

什么是 SSVC?

除了为公司量身打造的分类方法外,组织还可以选择SSVC来进行漏洞评估。SSVC最初应用于政府机构和关键基础设施组织,对其进行网络安全缺陷的评估。如今,私营企业也在使用SSVC,以完成同样的工作。该方法旨在对漏洞进行评估,并根据具体的利用状况以及产品在单一系统中的安全影响和危害范围来进行漏洞修复的优先级排序。其目标并非是遵循常规的风险评估建议,而在于优先寻找组织中的漏洞。SSVC最新的指导方针侧重于对漏洞的数量和复杂性进行评估。

以下是针对具体漏洞的4种可能的决策:

• Track:密切关注此类漏洞,但并不需要立即采取行动。 
• Track*:监视此类漏洞,不需要立即执行修复,但需要在下一次更新推出之前完成修复。
• Attend:监督人员需要密切关注该漏洞,寻求有关该漏洞的信息和修复帮助。同时还需要根据其严重程度,决定是否向组织员工或用户通知该漏洞的存在。此类漏洞需要在下一个标准更新之前就进行修复。 
• Act:此类漏洞必须受到管理层的重视。组织应向其员工和客户通知该漏洞的情况,并创建响应方案。该级别的漏洞必须尽快得到修复。

对漏洞进行评价标记时,需要考虑以下5个因素:

• 利用状况:该漏洞目前是否正在被利用?
• 技术影响:攻击者是否能够通过利用该漏洞来获取凭证?该漏洞可以使攻击者获得多少访问系统其他部分的权限?
• 自动化程度:攻击者重复利用该漏洞的难易程度,以及对该漏洞的利用是否可以自动化进行。
• 任务广度:该漏洞被利用是否会对组织的业务运营产生不利影响?会造成多久的宕机时间?若消费者不能通过组织的网络应用访问其产品或服务,会给组织带来多少损失?
• 公众影响:该漏洞被利用后,是否会给公众带来身体、精神、情感或环境方面的伤害?若发生攻击,公众将会受到怎样的不利影响?消费者是否会受到经济损失?组织是否会违反合规条例?

如果一个漏洞符合上述5个因素中的大部分内容,那么就表示,该漏洞的风险程度较高,需要得到及时的修复。

具有优先级的风险和漏洞管理

一旦采用了SSVC,组织将很清楚应该从哪里开始进行漏洞修复。那么剩下的问题就是,该如何高效修复。若出现了重大的代码问题,那么应尽快进行更新。而对于不那么紧急且修复难度大的漏洞,这里有另外的一些处理方法。

虚拟修复是缓解低风险漏洞的不错选择,同时它还可以在组织花费时间解决代码问题时,为组织提供快速的保护。另一方面,web应用程序防火墙(WAF)或web应用程序和API保护(WAAP)协议可以通过保护数据和过滤流量来保护web应用程序免受攻击。根据实际需求,组织还可以使用云计算相关方式和SaaS解决方案。虽然此类方法无法修复系统中的漏洞,但却可以在一定程度上保护组织免受攻击。

无论选择何种方法,虚拟修复都可以在解决漏洞的同时,大大保证数据的安全性。若组织使用了SSVC来对漏洞进行优先级排序,那么修复的优先级顺序就应该是:首先对“Act”级别的漏洞进行修复,其次是“Attend”级别的,然后是“Track*”级别,最后才会修复“Track”级别的漏洞。

用上述的方式来合理安排组织的资源可以帮助组织在最佳时间内对最关键漏洞进行修复的同时,保护组织免受低风险漏洞的损害。

数世点评

SSVC是一种针对企业实际需求的漏洞管理方法,为企业提供了更加有针对性、客观性、可扩展性以及透明性的漏洞管理方案。然而SSVC在实施方面却存在着一定的难度。例如,SSVC需要对企业的利益相关者进行充分的分析和评估,而这需要企业具有充足的资源和能力来实现,倘若能力不足,则会影响SSVC在漏洞管理方面的效果。其次,SSVC需要大量的数据和信息来支持漏洞分类及分析,其中不乏一些敏感数据,因此不免会出现一定的数据隐私隐患。最后,SSVC在实施过程中还需要考虑到多方利益相关者之间的冲突和矛盾,而如何平衡各方利益仍是一个难题。



参考阅读 
API 安全基础知识:你所需知道的一切
电动汽车充电基础设施与安全
针对痛点修复: 2023年有效的漏洞管理
下一代SIEM的4大优势
OTP是否能够成为NIST后量子算法的可行替代方案

原文始发于微信公众号(数世咨询):特定利益相关者漏洞分类法

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月15日03:51:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   特定利益相关者漏洞分类法http://cn-sec.com/archives/1605617.html

发表评论

匿名网友 填写信息