采用基于風險的漏洞修補方法
采用基于風險的漏洞修補方法
軟件漏洞是當今組織的主要威脅。這些威脅的代價是巨大的,無論是在經濟上還是在聲譽方面。
當您的組織中的漏洞數量達到數十萬個并且以低效的方式(例如使用 Excel 電子表格或多個報告)進行跟蹤時,漏洞管理和修補很容易失控,尤其是當組織中涉及許多團隊時.
即使有修補程序,組織仍然難以有效地修補其資產中的漏洞。這通常是因為團隊會查看漏洞的嚴重性,并傾向于按照以下嚴重性順序對漏洞應用補丁:嚴重 > 高 > 中 > 低 > 信息。以下部分解釋了為什么這種方法存在缺陷以及如何改進它。
為什么打補丁難?
眾所周知,漏洞修補極為重要,但有效修補漏洞也具有挑戰性。漏洞可以從滲透測試報告和各種掃描工具等來源報告。可以對您的 Web 應用程序、API、源代碼、基礎設施、依賴項、容器等執行掃描。
即使在很短的時間內,需要篩選以確定補丁優先級的報告總數也會急劇增加,當涉及多個團隊時,這可能會進一步增加協調和確定補丁優先級所需的復雜性和時間。
更糟糕的是,新漏洞幾乎每天都在出現,跟蹤新漏洞和可用補丁可能成為一項艱巨的任務,如果處理不當,很快就會失控。除非一個組織有一個非常成熟的安全程序,否則有效地管理補丁是很復雜的。
采用基于風險的方法修補漏洞
簡化修補要求您首先簡化優先級。“基于風險的方法”意味著您將權衡漏洞的潛在影響與其被利用的可能性。這使您可以確定是否值得采取行動。
為了簡化優先級,您必須考慮以下事項:
- 資產的曝光,
- 資產的商業敏感性,
- 針對資產報告的漏洞的嚴重性,
- 報告的漏洞利用的可用性,
- 漏洞利用的復雜性(如果可用),
- 報告的漏洞分類。
*資產可以是您組織內的任何東西,例如 Web 應用程序、移動應用程序、代碼存儲庫、路由器、服務器、數據庫等。
簡化優先級
這種方法有助于大大減少確定漏洞優先級所花費的時間。讓我們詳細討論每一點:
暴露:如果您的資產是面向公眾的 Internet 或私有資產,即位于網絡內具有受控訪問的防火墻后面。公共資產通常具有更高的風險,但這并不總是意味著它們應該被優先考慮。原因是并非所有公共資產都是敏感的。一些公共資產可能只是不包含用戶數據的靜態頁面,而其他公共資產可能正在處理付款和 PII 信息。因此,即使資產是公開的,您也必須考慮其敏感性。
資產敏感性:根據資產對您的業務的重要性對所有資產的業務敏感性進行分類。包含有關用戶或處理付款的敏感信息的資產可以歸類為關鍵業務敏感性資產。僅提供一些靜態內容的資產可以歸類為業務敏感性低的資產。
報告的漏洞的嚴重性:這是不言自明的;您必須按照嚴重 > 高 > 中 > 低 > 信息嚴重性的順序對漏洞進行優先級排序。
漏洞利用可用性:已公開漏洞利用的漏洞應優先于沒有可用漏洞利用的漏洞。
漏洞利用復雜性:如果漏洞利用非常容易利用并且幾乎不需要用戶交互,則此類漏洞利用的漏洞應優先于具有通常需要高權限和用戶交互的非常復雜漏洞利用的漏洞。
分類:還必須考慮報告的漏洞分類,并應與 OWASP 或 CWE 等行業標準進行映射。例如,影響服務器的遠程代碼執行的優先級應高于客戶端漏洞,例如反射跨站點腳本。
高優先級漏洞的一個例子是,受影響的資產是公開暴露的,具有關鍵的業務敏感性,漏洞嚴重性是關鍵的,可以利用,并且不需要用戶交互或身份驗證/特權。
一旦確定了所有漏洞的優先級,解決最關鍵的漏洞將大大降低組織面臨的風險。
那么,漏洞管理報告應該衡量哪些問題才能令人滿意地確保您的應用程序安全?
如何獲取補丁信息?
您可以從 NVD 等各種公告中獲取有關補丁的信息。在這些報告中,您可以找到有關如何修補漏洞的多個參考。此外,您使用的產品的網站通常會提供此信息。雖然可以手動查看所有來源并獲取有關補丁的信息,但如果您的組織中存在許多安全漏洞,則從多個來源獲取所有信息可能很乏味。
解決方案:
Strobes 可以顯著幫助各種規模的組織顯著減少確定漏洞優先級和在平臺內提供修補信息所需的時間。確定優先級也很容易,因為 Strobes 會根據基于風險的漏洞修補方法部分中描述的指標自動為您確定漏洞的優先級。
