漏洞优先级是根据对业务的潜在影响、可利用的容易程度和其他上下文因素确定漏洞并对其进行排序的过程。

它是漏洞管理过程中的关键步骤之一，为该过程的下一个步骤奠定了基础。它的目标是确保优先处理对组织来说风险更高的漏洞，而稍后处理风险较低的漏洞。

漏洞优先级排序的重要性

根据网络安全和基础设施安全局（CISA）的说法，一个漏洞在被发现后的平均15天内就可以被威胁行为者利用。因此，尽快解决这些漏洞，对于有效防范网络攻击至关重要。

关于如何优先处理漏洞的明确指导方针同样至关重要。如果没有优先级，组织可能会浪费时间和资源来修复低风险的漏洞，而忽略高风险的漏洞。

漏洞优先排序可以帮助组织实现以下目标：

· 减少可利用的攻击面，最大限度地降低数据泄露、服务中断、法规违规等风险；

· 使组织的安全策略符合其业务目标和目的；

· 有效地分配安全预算；

· 与补救和服务所有者建立信任。

如何确定漏洞的优先级？

组织应该采取基于风险的漏洞管理策略，考虑漏洞的严重性、可利用性、影响和业务情境，以便对漏洞进行适当的优先排序。以下是有效地确定漏洞优先级的四个步骤：

步骤1：识别系统中的漏洞

识别环境中的所有潜在漏洞是漏洞管理方法的第一步，也是最关键的一步。识别过程对于公司了解存在哪些威胁和漏洞至关重要。我们建议将程序自动化，以简化该过程。

步骤2：对漏洞进行分类和优先排序

一旦确定了网络中的漏洞，下一步就是对它们进行分类和排序。有几种方法可以做到这一点：

选项1：通过CVSS分数确定优先级

一个漏洞的严重程度可以通过通用漏洞评分系统（也称为CVSS分数）的数字来表示（0-10）。信息安全团队经常利用CVSS分数作为漏洞管理计划的一部分，对漏洞的修复进行优先排序，并提供漏洞之间的比较点。

然而，CVSS指标的限制之一是它只表示漏洞的严重性，而不考虑所述漏洞对组织的环境造成的风险。

选项2：通过CISA KEV数据库确定优先级

在观察到攻击者不仅仅依赖于被确认为关键的漏洞之后，来自网络安全和基础设施安全局（CISA）的专家们创建了一个活目录，其中包含了已知的被利用的漏洞，这些漏洞也给政府机构和企业带来了重大风险。该目录通常被称为KEV，它使所有组织很容易明白，他们应该集中精力修复已经危及其操作的漏洞子集。

选项3：基于业务上下文的优先级

每个组织都有其特定的优先级、目标和风险承受水平。因此，最好的优先排序方法可能是考虑到业务需求和目标的方法。虽然仍然建议使用CVSS和KEV，但是如果根据当前环境对漏洞进行过滤，则可以更有效地确定漏洞的优先级。为了让它更简单，您可以专注于以下因素： 

· 确定组织的目标和风险承受能力；

· 评估组织资产的重要性；

· 结合语境信息；

· 制定适当的基于风险的漏洞管理程序。

步骤3：解决漏洞

在评估和优先排序阶段之后，基于风险因素和业务环境解决漏洞是至关重要的。根据漏洞，您可以选择以下两个选项之一：

· 补救/修复：漏洞的补救包括通过打补丁、关闭打开的端口或使用详细的流程异常来采取措施修复它。当确定了风险的优先级并了解了漏洞之后，大多数组织都会选择修复漏洞。可以说，只要有可能，这通常是最好的选择；

· 缓解：如果一个漏洞不能立即修复，组织可以暂时选择通过减少漏洞被利用的可能性来缓解漏洞，直到漏洞最终被完全修复。

步骤4：报告和监控漏洞

跟踪您修复或缓解的漏洞，并进一步追踪它们的演变进程。如果组织想要管理漏洞带来的风险，就必须提高发现和修复漏洞的效率和精确度。因此，许多公司经常评估其漏洞管理程序的性能。

参考及来源：

https://heimdalsecurity.com/blog/vulnerability-prioritization/

原文来源：嘶吼专业版

“投稿联系方式：010-82992251   [email protected]”

原文始发于微信公众号（CNCERT国家工程研究中心）：确定漏洞优先级排序的操作指南