特定利益相關者漏洞分類法
一旦確定了優先級,組織就能夠有針對性地通過修復最為關鍵的漏洞來降低風險。其中WAF解決方案就是一種選擇。當然組織也可以考慮通過其他類型的虛擬補丁來降低風險。
為什么要對漏洞進行分類
如今,大多數組織都面臨著來自不同方面的海量漏洞。小到人為失誤,大到嵌入在應用程序中的開源代碼“后門”。如果不進行漏洞分類,那么該組織將無從得知:自己會在何時遭到攻擊,以及會遭受哪些方面的攻擊。
通過分類,組織可以區分出高危漏洞和低風險漏洞,從而快速識別出哪些威脅需要率先處理。在海量的漏洞中,許多漏洞是不會對組織構成威脅的,更不會直接危害到組織系統。反過來,另一些漏洞就非常容易被黑客所利用,急需得到補救。
組織應盡可能地將其有限的資源投入到較高風險的漏洞修復中去。高風險漏洞對于攻擊者來說,成功率更高,更具有實際價值,所以更容易被黑客所利用。但另一方面,這些漏洞會給組織帶來致命打擊,或使得組織成為供應鏈攻擊中的載體。
反之,組織中的低風險漏洞的利用難度高,被攻擊者利用的可能性低,所以對它們的修復可以安排在高風險漏洞之后。
什么是 SSVC?
除了為公司量身打造的分類方法外,組織還可以選擇SSVC來進行漏洞評估。SSVC最初應用于政府機構和關鍵基礎設施組織,對其進行網絡安全缺陷的評估。如今,私營企業也在使用SSVC,以完成同樣的工作。該方法旨在對漏洞進行評估,并根據具體的利用狀況以及產品在單一系統中的安全影響和危害范圍來進行漏洞修復的優先級排序。其目標并非是遵循常規的風險評估建議,而在于優先尋找組織中的漏洞。SSVC最新的指導方針側重于對漏洞的數量和復雜性進行評估。
以下是針對具體漏洞的4種可能的決策:
? Track:密切關注此類漏洞,但并不需要立即采取行動。
? Track*:監視此類漏洞,不需要立即執行修復,但需要在下一次更新推出之前完成修復。
? Attend:監督人員需要密切關注該漏洞,尋求有關該漏洞的信息和修復幫助。同時還需要根據其嚴重程度,決定是否向組織員工或用戶通知該漏洞的存在。此類漏洞需要在下一個標準更新之前就進行修復。
? Act:此類漏洞必須受到管理層的重視。組織應向其員工和客戶通知該漏洞的情況,并創建響應方案。該級別的漏洞必須盡快得到修復。
對漏洞進行評價標記時,需要考慮以下5個因素:
? 利用狀況:該漏洞目前是否正在被利用?
? 技術影響:攻擊者是否能夠通過利用該漏洞來獲取憑證?該漏洞可以使攻擊者獲得多少訪問系統其他部分的權限?
? 自動化程度:攻擊者重復利用該漏洞的難易程度,以及對該漏洞的利用是否可以自動化進行。
? 任務廣度:該漏洞被利用是否會對組織的業務運營產生不利影響?會造成多久的宕機時間?若消費者不能通過組織的網絡應用訪問其產品或服務,會給組織帶來多少損失?
? 公眾影響:該漏洞被利用后,是否會給公眾帶來身體、精神、情感或環境方面的傷害?若發生攻擊,公眾將會受到怎樣的不利影響?消費者是否會受到經濟損失?組織是否會違反合規條例?
如果一個漏洞符合上述5個因素中的大部分內容,那么就表示,該漏洞的風險程度較高,需要得到及時的修復。
具有優先級的風險和漏洞管理
一旦采用了SSVC,組織將很清楚應該從哪里開始進行漏洞修復。那么剩下的問題就是,該如何高效修復。若出現了重大的代碼問題,那么應盡快進行更新。而對于不那么緊急且修復難度大的漏洞,這里有另外的一些處理方法。
虛擬修復是緩解低風險漏洞的不錯選擇,同時它還可以在組織花費時間解決代碼問題時,為組織提供快速的保護。另一方面,web應用程序防火墻(WAF)或web應用程序和API保護(WAAP)協議可以通過保護數據和過濾流量來保護web應用程序免受攻擊。根據實際需求,組織還可以使用云計算相關方式和SaaS解決方案。雖然此類方法無法修復系統中的漏洞,但卻可以在一定程度上保護組織免受攻擊。
無論選擇何種方法,虛擬修復都可以在解決漏洞的同時,大大保證數據的安全性。若組織使用了SSVC來對漏洞進行優先級排序,那么修復的優先級順序就應該是:首先對“Act”級別的漏洞進行修復,其次是“Attend”級別的,然后是“Track*”級別,最后才會修復“Track”級別的漏洞。
用上述的方式來合理安排組織的資源可以幫助組織在最佳時間內對最關鍵漏洞進行修復的同時,保護組織免受低風險漏洞的損害。
數世點評
SSVC是一種針對企業實際需求的漏洞管理方法,為企業提供了更加有針對性、客觀性、可擴展性以及透明性的漏洞管理方案。然而SSVC在實施方面卻存在著一定的難度。例如,SSVC需要對企業的利益相關者進行充分的分析和評估,而這需要企業具有充足的資源和能力來實現,倘若能力不足,則會影響SSVC在漏洞管理方面的效果。其次,SSVC需要大量的數據和信息來支持漏洞分類及分析,其中不乏一些敏感數據,因此不免會出現一定的數據隱私隱患。最后,SSVC在實施過程中還需要考慮到多方利益相關者之間的沖突和矛盾,而如何平衡各方利益仍是一個難題。
