01
—
评分需求的出现
-
流程在部分场景中显得复杂:在收到微信群传播产品存在漏洞的情报,按照流程需要第一时间建立相关领导群进行消息上报,并组织对应的产品线对外发布声明。但实际是因为漏洞是谣言、仅小范围传播等原因,并没有给值班人员指明既定操作,此时流程显得有点繁琐和不适用; -
流程中一些环节缺少细节:又如一线传来客户侧的产品出现一个低危漏洞,按照响应流程需要输出修复方案、上传至指挥平台生成客户侧修复工单,但由于每次下发动作非常大,仅低危漏洞带来的风险与产品可用性、客户侧的操作成本、潜在带的舆论风险相比,很可能就不值一提了,所以在演戏过程中仅进行了单点的修复和修复方案准备。
02
—
需要考虑的因素
-
产品重要程度(10%):指产品在演习中和公司的重要程度,若满足集权类产品、边界类产品或销售量高的产品任意一条,则该项风险极高、定为10分,其他情况依次递减标准和分数;
-
产品影响范围(20%):受影响产品版本的客户实例数占产品总客户数百分比≥80%,则该项风险极高、定为10分,其他情况依次递减标准和分数; -
事件社会舆论(30%):外部已传播产品漏洞舆情,且范围和影响均较大(公众号、微信群等传播渠道),则该项风险极高、定为10分,其他情况依次递减标准和分数; -
漏洞通用评分(40%):按照CVSS3.1对漏洞进行评分,得分结果若是严重,则该项风险极高、定为10分,其他情况依次递减标准和分数;
03
—
定级评分模板
原文始发于微信公众号(我的安全视界观):产品安全事件定级评分方法
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论