網絡安全風險量化(CRQ)是當下網絡安全行業最熱門的話題之一,因為當今的網絡安全環境需要敏捷和數據驅動的網絡風險管理方法。

雖然名字聽上去很高大上,但CRQ本質上只是標記環境網絡風險級別的一種標簽。無論你選擇哪種CRQ計算模型,都必須根據自己的需求和環境對其進行定制。

CRQ不但可用于確定修復已發現漏洞的優先級,還可以確定是否需要實施額外的安全控制(增加網絡安全預算)。因此,CRQ或CRQM(網絡安全風險量化管理)可以幫助CISO與董事會成員、首席執行官和首席財務官進行更有成效的溝通。

優先修復發現的漏洞

大多數CRQ公式使用CVE CVSS分數作為判定漏洞修復優先級的基礎。提交CVE的人員通常會考慮多個因素,例如攻擊向量、復雜性以及對CIA三元模型的影響,還會根據時間指標對CVE進行更新。但是,這些(修改后的)基本指標在安全業界從未真正流行,因為CVE提交人員并不知道你采取了哪些防御措施。

作為企業安全防御者,你面臨的第一個挑戰是開發一個漏洞管理程序。這聽起來很簡單,但魔鬼在細節中。尤其是當你的環境中有OT工控網絡設備時。OT設備無法處理簡單的漏洞掃描,很容易跳閘并進入錯誤模式,這可能會導致生產中斷。物聯網(IoT)設備也面臨同樣的問題。

為了克服這些挑戰,需要在網絡設計時將這些更易受攻擊的設備放在單獨的VLAN中,并使用更專業的漏洞掃描/檢測軟件來檢測這些VLAN中的漏洞。

一旦你解決了漏洞掃描的技術挑戰,接下來需要設置一個流程確保能及時處理每個檢測到的漏洞。

大多數漏洞管理計劃面臨的問題或者說挑戰在于:在確定修復工作的優先級時,沒有考慮資產價值。而這,正是CRQ可以發揮價值的地方。

CRQ公式的關鍵要素之一應該是資產權重/嚴重性/價值。但問題是,應該基于資產、應用程序還是數據?如果在同一個資產上運行不同的應用程序會怎樣?

在大多數環境中,應用程序需要一臺或多臺服務器,并且該應用程序可能依賴于其他應用程序。這些依賴項也必須在某處正確記錄(最好在CMDB中)。在開發CRQ公式時必須考慮到這一點。

你很可能已經實施了多種安全控制措施來預防威脅降低風險,例如防火墻、IPS解決方案、反惡意軟件等。這些安全產品本身也需要添加到CRQ公式中的一個組件,但相比其他資產,這是一個更棘手的問題。

防火墻和IPS解決方案通常是基于網絡的解決方案。在大多數環境中,應用基于主機的防火墻和基于主機的IPS解決方案仍然不是標準做法。

即便你擁有最先進的IPS解決方案,也只有在網絡流量通過IPS解決方案時才能發揮作用。這些解決方案通常部署在流量從一個網段路由到另一個網段的地方。換句話說,在同一網段內,這些解決方案效率較低。因此,你可能還需要為這些方案(資產)本身部署這些解決方案,但這并不總是可行的。

企業IT和網絡安全政策通常會要求以多快的速度修復已發現的漏洞。這部分內容通常會強調“先外后高”,對外暴露的優先,然后是CVSS分數高的優先,但這是正確的方法嗎?

防御者應該多想想對手最有可能首先攻擊的地方,根據“攻擊優先級”來制訂漏洞修復優先級。然后,再在網絡內部確定優先級,這也是CRQ公式發揮作用的地方:根據CRQ公式的結果,優先處理具有最高CRQ值的資產。

一個可行的CRQ公式

要計算CRQ基值,首先需要收集所有發現的漏洞。確保對于每個發現的漏洞你都有基礎指標和時間指標,這會讓計算基礎CRQ值變得相對簡單。

如果時間指標已知,則CRQ基礎值是時間指標的值,否則CRQ基礎值是基礎度量的值。

以下部分是為了確保您將實施的安全控制考慮在內:

如果發現的漏洞受到網絡安全控制的保護,則可以通過將CRQ基值乘以值X來計算基于網絡的CRQ值。如果發現的漏洞受到基于主機的安全控制保護,則可以通過將CRQ基值乘以值X來計算基于主機的CRQ值。

已知漏洞總是需要修復,因此你不能將CRQ基值乘以0。較為復雜的是確定值X,因為你擁有的安全控制越多,確定值X的難度就越大。

示例:

你在你的一個公共網站上發現了Log4J漏洞。根據NVD數據庫,CVE Base指標為9.0。沒有可用的時間指標。因此,CRQ基值為9.0。該站點應用程序僅受網絡防火墻和網絡IPS解決方案的保護。

除非您阻止整個網站,否則防火墻本身不會提供任何保護。但是,如果您正確應用了零信任架構,那么防火墻確實能提供一定程度的保護。在本示例中,用戶未正確應用零信任架構。

只有配置正確的IPS解決方案才可以發揮保護作用。因此,不能想當然以為只要部署了IPS解決方案,它會自動保護你。你需要定期查看IPS解決方案以了解它提供的保護級別。在Log4J漏洞利用公布后,IPS解決方案并沒有立刻提供任何針對Log4J漏洞的保護。不過,大多數主流IPS解決方案供應商都在漏洞利用發布24小時內發布了產品更新。

在漏洞發現的第0天,你可以將CRQ基值乘以1來計算基于網絡的CRQ值(沒有任何可用補丁的情況)。在安全供應商更新他們的產品并實施更新時,可以將CRQ基值乘以值X重新計算基于網絡的CRQ值,其中X小于1,因為配置并啟用了所需的保護。

但是,由于資產依賴基于網絡的保護,因此只有在網絡流量通過網絡安全控制時才會受到保護。在同一網絡區域內,這些安全控制不提供任何形式的保護。也就是說,區域內CRQ主機值等于網絡CRQ值。區域間CRQ主機值可以通過將CRQ基值乘以1來計算,因為沒有實施基于主機的安全控制。

要計算最終的CRQ基值,你需要將CRQ基值乘以CRQ網絡值乘以CRQ主機值。如果需要考慮資產重要性,你還可以將最終的CRQ基值乘以資產權重值。

用CRQ確定是否需要額外安全控制(預算)

應用程序以及企業IT/OT網絡環境中的每個資產,都服務于一個或多個業務功能。如果應用程序不可用,這些業務功能就會中斷,并可能導致生產損失和/或停機。當生產損失和停機時間以財務量化時,首先應該根據“數額優先”原則進行詳細的風險分析,來確定是否可使用CRQ減少生產損失/停機時間。

此類CRQ公式相對簡單:

生產損失/停機時間造成的損失乘以Y值。如果沒有適當的保護控制(補丁),則Y值為1,否則Y值可以更低。

這種方法需要業務和安全部門之間經常溝通,以確定業務的痛點。至關重要的一點是,企業各部門應該對“痛點”保持開放的態度和透明度。同樣需要牢記的一點是,網絡安全部門可以以非技術方式進行這種溝通。

通過與業務部門的有效溝通,網絡安全部門可以評估當前架構和實施的安全控制是否足以降低Y值,或者是否需要增加額外的安全控制(預算)。

網絡安全 優先級 防火墻 解決方案 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接