漏洞管理与合规紧密联系。正如遵循特殊管控规范有助于合理管理方法漏洞,合理管理方法漏洞也有助于避开能致违反规定的安全事故。
但由于不一样监管部门规范不一样,既合理且合规的漏洞管理对不一样组织架构来讲有可能代表着不一样的东西。但有一个除外:风险性!全部规范都指出了风险性!实际有:
- PCI DSS 规定 6.1 申明:公司企业务必 “开设漏洞发觉全过程,并为探索与发现的安全性漏洞授予风险性得分。”
- GDPR 第 32 条规定:完成 “适当的专业性或全局性对策以保证合适风险性状况的安全防护水准。”
- HIPAA 安全性标准强制性规定:“评定电子器件健康服务的安全保密性、一致性和易用性所遭遇的不确定性风险性与漏洞。”
- GLBA 安全性要求规定:公司企业须 “鉴别并评定客户资料风险性,评定现阶段风险管控安全防范措施的实效性。”
许多管控规范都规定评定风险性并为此作出适当回应才可以达到并保持合规,以上几个但是摘抄一二罢了。在漏洞管理情境下,如 PCI DSS 规定 6.1 上述,合规就代表着根据风险性给漏洞排列并修补。
但因为漏洞对每家企业实际意义不一样,要实现按风险管控漏洞并不易。精确评定最先要明确:
- 漏洞武器化的几率有多大;
- 假如武器化,对相应企业的不良影响是啥。
要想明确这好多个自变量,下列提议产考:
1. 掌握财产状况
很有可能影响到重要财产的漏洞肯定要优先选择修补。对大部分公司来讲,重要财产包含但不限于适用一个或好几个安全性合规规定的这些。例如,受 HIPAA 所管的公司企业就需要特别关心带有本人健康服务的财产;PCI DSS 辖下企业应高度重视借记卡数据信息;GDPR 管控下的公司企业还需要将客户信息也列入重点关注目标。
鉴别出重要财产后,还需要明确并纪录下其储存、解决、管理方法和很有可能被损坏的方法。与这种财产密切相关的技术性有什么?怎么连接的?什么客户可以出自于哪一种目地浏览这种财产?哪些人有可能会想毁坏/泄漏这种财产?为何?这种财产一旦被毁坏/泄漏,会产生哪些不良影响?该类问题的回答有助于鉴别、归类和排列很有可能危害这种财产的潜在性漏洞。
2. CVSS得分不意味着一切
排列修补姿势时最易犯的一个不正确,是将通用性漏洞评分标准 (CVSS) 的成绩相当于风险性值。虽然 CVSS 得分能反馈出漏洞实质和漏洞武器化后的很有可能个人行为方法,但那些全是规范化的,并不可以体现出以上2个决策漏洞特殊风险性值的自变量——武器化几率和对于公司的特殊潜在性危害。
实际上,2014 年对于 CVSS 得分的分析就发觉,“仅依据 CVSS 得分多少修补漏洞,相当于任意拣取漏洞修补。” 该科学研究还发觉,虽然漏洞的 CVSS 得分好像与其说武器化几率并无关系,但有其它要素与之有关,包含:是不是存有漏洞运用定义认证编码,深网社区论坛、影子网络销售市场等不法在线社区是不是提及该漏洞运用编码等。
由于绝大部分通用性漏洞与曝露 (CVE) 从没武器化,该探讨的结果具备一定现实意义。高 CVSS 得分的 CVE 仅有在故意网络黑客能武器化的情况下才算是真正意义上的危害。但要武器化漏洞,网络黑客最先得明确武器化方式,而这通常都必须定义认证 (POC) 编码。应用或开发设计 POC 编码的全过程通常含有很多尝试错误。若没有在深/影子网络和别的不法在线社区中与其他网络黑客沟通交流,大部分网络黑客一般是搞不懂的。
也就是说,无论 CVSS 得分是高是低,评定漏洞时都必须将是不是存有 POC 编码和有关网络黑客探讨做为关键风险因素进行考虑。
3. 风险评价架构
出自于修补排列目地的风险评价全过程提升可以考虑到选用评定架构。现有的风险评价架构有很多,在其中一些或是特殊监管部门强制性规定或提议选用的,这种现有的架构都能协助安全性精英团队更合理地评定、排列和管理方法不一样风险性。
但无论使用哪一种架构,都必须按照企业特殊条件和风险因素进行完成。换句话说,你需要统计分析财产,评定财产网站被黑的不确定性危害, 分辨漏洞武器化几率。无论是否有运用漏洞风险评价架构,缺了以上信息内容都不能精确评定漏洞对公司的特殊风险性。
此外,还需切记:尽管合规不该是安全性新项目的终极目标,但每个合规规定都注重风险性肯定是有缘由的。合理管理方法漏洞,尤其是有效排列修补姿势,仅有根据风险性才算是行得通的。
对于 CVSS 得分的调查报告全文:
https://www.researchgate.net/publication/270697273_Comparing_Vulnerability_Severity_and_Exploits_Using_Case-Control_Studies
【文中是51CTO栏目创作者“李少鹏”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章