漏洞优先级(VPT)是怎么排序的

admin 2023年6月8日11:33:18评论244 views字数 3358阅读11分11秒阅读模式
几乎所有人都意识到了漏洞的严重性和实际的处理优先级并不完全一致,甚至毫无关系。
1、CVSS旨在识别漏洞的技术严重性
每年大约出现20000个漏洞,CVSS v3 评级56%的漏洞被认定为高危或者严重等级(CVSS评分为7或更高),这些高危和严重漏洞中,可利用性较高的占比为24%,而这更意味着,如果安全团队把高危和严重漏洞都修复了,意味着有76%的时间消耗在短期内几乎无风险的漏洞上,同时,有44%的短期可被利用的漏洞被评为中低风险,因此很可能被忽略掉。在所有已发表的CVE中,只有15%的漏洞有可利用性或实际利用,当进一步分析有证据表明该漏洞已在野被利用的漏洞时,漏洞的百分比降到3%左右。
漏洞优先级(VPT)是怎么排序的
CVSS旨在识别漏洞的技术严重性,而人们更关注漏洞或缺陷给他们带来的风险,或者是他们面对漏洞应该有如何的反应速度。即风险=威胁*弱点*资产。

漏洞优先级(VPT)是怎么排序的可利用性(Exploitability)是CVSS基础指标组的两个主要指标之一,由漏洞组件的特征组成,它又由5个指标构成——攻击向量、攻击复杂性、所需特权、用户交互、作用域。另一块是影响(Impact)。除此以外,CVSS还有两个动态变化的小指标,时间指标和环境指标,顾名思义,比如厂商新出了补丁,时间指标就会评分降低,而环境指标则不太好施行,第三方并不太知道用户的环境变化情况,是否存在安全控制可以减轻攻击成功后的结果,CIA(机密性、完整性和可用性)三要素是如何保障的,以及漏洞系统在技术基础架构中的重要性,因此大多数情况下无法使用这个指标的评分。

那么一个漏洞的优先级是怎么得出来的呢?通常,在发布一篇漏洞报告的时候,每个作者(厂商)都有自己的一套VPT逻辑,以 CVE-2023-2825举例。
2003年5月25日,GitLab 发布了 16.0.1 版紧急安全更新,以解决 CVE-2023-2825 路径遍历漏洞。在GitLab CE/EE中发现了一个问题,仅影响16.0.0版本。当嵌套在至少五个组中的公共项目中存在附件时,未经身份验证的恶意用户可以使用路径遍历漏洞读取服务器上的任意文件。
此漏洞按照CVSS的方式打分结果为,NVD为7.5高,原厂Gitlab为10.0严重,Tenable 为7.5,但VPR( vulnerability priority rating相当于VPT)为6.9中,微步为VPT低。
漏洞优先级(VPT)是怎么排序的
漏洞优先级(VPT)是怎么排序的
漏洞优先级(VPT)是怎么排序的
NVD(CVSS)
Gitlab(CVSS)
Tenable
微步
7.5高
10.0严重
6.9中

微步的理由是:“经过微步在线漏洞团队复现、分析及研判,该漏洞利用成功(实现非认证的任意文件读取)的条件较为苛刻。具体利用条件可见下方分析。从攻击者视角出发,该漏洞的利用前置条件在绝大多数场景下都不满足。除非是具备创建group权限的账户存在弱口令/密码泄露等权限问题时,攻击者自行创建一个符合条件项 目组和该项目组下的公开项目,再利用这个漏洞读取GitLab服务器上的敏感文件。综合判断,该漏洞实际互联网受影响面极小,可酌情修复。”那么,别人说的说的高对你也是高,别人说的低对你也是低吗?
2、特定利益相关者漏洞分类法SSVC
卡内基梅隆大学软件工程研究所(SEI)与CISA(美国国土安全局下辖部门)合作,于2019年创建了特定于利益相关者的漏洞分类(SSVC),提供了一种漏洞分析方法,该方法可以说明漏洞的利用状况、对安全性的影响以及受影响产品在单一系统中的流行程度。CISA于2020年与SEI合作,开发了自己的定制SSVC决策树,以检查与美国政府、州、地方、部落、领土和关键基础设施实体相关的漏洞。实施SSVC使CISA能够更好地优先考虑其漏洞响应和向公众传递漏洞信息。 
SSVC以决策树的形式进行漏洞优先级排序,该决策树可以适应不同的漏洞管理相关方,如补丁开发人员和补丁应用人员(即特定利益相关者)。SSVC是CISA作为其独特顾问角色的原型,能够为各种利益相关者提供决策支持,并影响他们对漏洞的优先排序。
决策树的用法:单击Show Full Tree按钮可以一目了然地看到完整的决策树。每个圆代表决策树中的一个决策点,将鼠标移动到每个圆圈上,可以查看在这个点上能做出的两到三项选择,同时,将你带到下一个决策点。
从左到右,是否有POC(POC到EXP只有一步之遥),POC是否是自动化的(自动化到大规模利用只有一步之遥),是否影响你的系统(技术影响到你的系统出事只有一步之遥),
当需要更复杂的决策时,比如任务广度和公众幸福影响,你会有更多的选择。
Mission Prevalence(任务广度),CISA 在漏洞这件“纯技术”的事上引用了美国国土安全局诸如Mission Prevalence(任务广度),Mission Essential Functions (MEF任务基本职能)等大量的说法。本质上是指某个漏洞对你拥有的资产、系统、软件、组件的影响大小,该组件在你的整个系统中的发挥作用的范围广度,大白话就是有多重要。
Public Well-Being Impact (公众幸福影响),引用了美国疾病控制与预防中心 (CDC)的说法。更多是指漏洞对公众的影响,会不会引起大面积的系统停摆,群众恐慌等等。比如Log4J漏洞导致Apple官网停服,那对果粉来说肯定就不幸福了,比如永恒之蓝漏洞导致车管所系统被勒索,那老司机们肯定就不爽了,比如医院的系统漏洞被利用成功,那可能病人都要挂了。幸福的不同方面包括:身体健康,经济福利,社会福利,发展和活动,情感福祉,心理健康,生活满意度,特定领域的满意度,参与活动和工作。
最后的决策结果为以下四项之一:
Track:该漏洞目前不需要采取行动。组织需继续跟踪该漏洞,并在获得新的信息时重新评估它,建议在标准更新时间线内修复跟踪漏洞。
Track*该漏洞包含特定的特征,可能需要对其变化进行更密切的监控,建议在标准更新时间线内修复Track*漏洞。
Attend脆弱性需要组织内部的主管关注。必要的行动包括请求协助与有关漏洞的信息,可能涉及在内部和/或外部发布通知,建议在标准更新时间线之前修复Attend漏洞。
Act:该漏洞需要来自组织内部主管级别和领导级别的人的关注。必要的行动包括请求协助或提供有关该漏洞的信息,以及在内部/或外部发布通知。通常,内部小组将开会确定总体响应,然后执行商定的行动,建议尽快修复漏洞。

“标准更新时间线”在指南中没有定义,个人认为是组织根据对风险管理的认识,在有限的资源下可以接受的SLA。

SSVC旨在实现所有的基本要素——对资产的影响、利用的可能性和任务关键性。此外,SSVC是可定制的,因此组织可以调整决策树以适应他们的需求。虽然SSVC作为基于风险的优先级排序的框架是向前迈进去重要一步,但很多组织在实施该框架时可能还是会遇到挑战——获得可靠和准确的威胁和漏洞情报(提供与漏洞有关的利用和攻击信息,如对漏洞利用后IOC的观察、暗网上是否有利用、社交媒体或代码仓库上的报告、漏洞利用代码成熟度、哪些漏洞可能与攻击有关,哪些已经受到黑客团伙主动或大规模的利用)对所有资产关联信息的深刻理解,身份权限,云,以及期望利用一个大规模优先级分析系统,都需要靠谱的技术和较高成本的投入。

最后,我并不是鼓励大家用SSVC,放弃CVSS,相反,SSVC或者其他VPT并不涉及CVSS中的漏洞技术严重性评分,如果能把CVSS中的各种指标利用好,也可以形成很好的VPT。在打补丁的过程中,一个比较好的策略可能是首先基于VPT得出一个优先级,然后根据CVSS评分,逐步增加覆盖率。回到当下,我们是否已经开始着手建立自己的漏洞优先级排序法、对应的响应机制,并融入到持续改进的风险管理体系中!不管你是用GPT,用强大的EXCEL还是邪恶老祖PPT。
https://www.first.org/cvss/specification-document
https://www.cisa.gov/ssvc-calculator
https://www.tenable.com/blog/what-is-vpr-and-how-is-it-different-from-cvss



原文始发于微信公众号(无限手套Infinity Gauntlet):漏洞优先级(VPT)是怎么排序的

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月8日11:33:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞优先级(VPT)是怎么排序的https://cn-sec.com/archives/1787286.html

发表评论

匿名网友 填写信息