一旦确定了优先级,组织就能够有针对性地通过修复最为关键的漏洞来降低风险。其中WAF解决方案就是一种选择。当然组织也可以考虑通过其他类型的虚拟补丁来降低风险。
为什么要对漏洞进行分类
如今,大多数组织都面临着来自不同方面的海量漏洞。小到人为失误,大到嵌入在应用程序中的开源代码“后门”。如果不进行漏洞分类,那么该组织将无从得知:自己会在何时遭到攻击,以及会遭受哪些方面的攻击。
通过分类,组织可以区分出高危漏洞和低风险漏洞,从而快速识别出哪些威胁需要率先处理。在海量的漏洞中,许多漏洞是不会对组织构成威胁的,更不会直接危害到组织系统。反过来,另一些漏洞就非常容易被黑客所利用,急需得到补救。
组织应尽可能地将其有限的资源投入到较高风险的漏洞修复中去。高风险漏洞对于攻击者来说,成功率更高,更具有实际价值,所以更容易被黑客所利用。但另一方面,这些漏洞会给组织带来致命打击,或使得组织成为供应链攻击中的载体。
反之,组织中的低风险漏洞的利用难度高,被攻击者利用的可能性低,所以对它们的修复可以安排在高风险漏洞之后。
什么是 SSVC?
除了为公司量身打造的分类方法外,组织还可以选择SSVC来进行漏洞评估。SSVC最初应用于政府机构和关键基础设施组织,对其进行网络安全缺陷的评估。如今,私营企业也在使用SSVC,以完成同样的工作。该方法旨在对漏洞进行评估,并根据具体的利用状况以及产品在单一系统中的安全影响和危害范围来进行漏洞修复的优先级排序。其目标并非是遵循常规的风险评估建议,而在于优先寻找组织中的漏洞。SSVC最新的指导方针侧重于对漏洞的数量和复杂性进行评估。
以下是针对具体漏洞的4种可能的决策:
对漏洞进行评价标记时,需要考虑以下5个因素:
如果一个漏洞符合上述5个因素中的大部分内容,那么就表示,该漏洞的风险程度较高,需要得到及时的修复。
具有优先级的风险和漏洞管理
一旦采用了SSVC,组织将很清楚应该从哪里开始进行漏洞修复。那么剩下的问题就是,该如何高效修复。若出现了重大的代码问题,那么应尽快进行更新。而对于不那么紧急且修复难度大的漏洞,这里有另外的一些处理方法。
虚拟修复是缓解低风险漏洞的不错选择,同时它还可以在组织花费时间解决代码问题时,为组织提供快速的保护。另一方面,web应用程序防火墙(WAF)或web应用程序和API保护(WAAP)协议可以通过保护数据和过滤流量来保护web应用程序免受攻击。根据实际需求,组织还可以使用云计算相关方式和SaaS解决方案。虽然此类方法无法修复系统中的漏洞,但却可以在一定程度上保护组织免受攻击。
无论选择何种方法,虚拟修复都可以在解决漏洞的同时,大大保证数据的安全性。若组织使用了SSVC来对漏洞进行优先级排序,那么修复的优先级顺序就应该是:首先对“Act”级别的漏洞进行修复,其次是“Attend”级别的,然后是“Track*”级别,最后才会修复“Track”级别的漏洞。
用上述的方式来合理安排组织的资源可以帮助组织在最佳时间内对最关键漏洞进行修复的同时,保护组织免受低风险漏洞的损害。
SSVC是一种针对企业实际需求的漏洞管理方法,为企业提供了更加有针对性、客观性、可扩展性以及透明性的漏洞管理方案。然而SSVC在实施方面却存在着一定的难度。例如,SSVC需要对企业的利益相关者进行充分的分析和评估,而这需要企业具有充足的资源和能力来实现,倘若能力不足,则会影响SSVC在漏洞管理方面的效果。其次,SSVC需要大量的数据和信息来支持漏洞分类及分析,其中不乏一些敏感数据,因此不免会出现一定的数据隐私隐患。最后,SSVC在实施过程中还需要考虑到多方利益相关者之间的冲突和矛盾,而如何平衡各方利益仍是一个难题。
参考阅读
API 安全基础知识:你所需知道的一切
电动汽车充电基础设施与安全
针对痛点修复: 2023年有效的漏洞管理
下一代SIEM的4大优势
OTP是否能够成为NIST后量子算法的可行替代方案
原文始发于微信公众号(数世咨询):特定利益相关者漏洞分类法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论