漏洞管理和合规性齐头并进。正如遵守特定监管标准有助于有效管理漏洞一样,有效管理漏洞也有助于避免导致漏洞的安全事件。但鉴于不同监管机构的不同标准,有效且合规的漏洞管理对不同的组织可能意味着不同的事情。有一个例外:风险!所有标准都强调风险!具体来说:PCIDSS要求6.1规定公司必须“建立漏洞发现流程并为新发现的安全漏洞分配风险评分”。GDPR第32条要求:实施“适当的技术或组织措施,以确保与风险情况相适应的安全级别。”HIPAA安全规则规定:“评估电子健康信息在保密性、完整性和可用性方面的潜在风险和漏洞。”GLBA安全法规要求:企业必须“识别和评估客户信息风险,评估当前风控安全措施的有效性”。许多监管标准要求评估风险并做出适当的反应以实现和保持合规性。以上只是摘录一二。在漏洞管理的上下文中,如PCIDSS要求6.1中所述,合规性意味着根据风险对漏洞进行优先级排序和补救。但是,由于漏洞对每个公司的意义不同,因此通过风险管理漏洞并不容易。准确的评估始于确定:漏洞被武器化的可能性有多大;如果被武器化,对特定公司的影响是什么。要确定这些变量,可以参考以下建议:1.了解资产状况首先修复可能影响关键资产的漏洞。对于大多数企业而言,关键资产包括但不限于适用于一项或多项安全合规性要求的资产。例如,受HIPAA管辖的公司应特别注意包含个人健康信息的资产;受PCIDSS管辖的公司应关注支付卡数据;受GDPR监管的公司也应将用户数据作为重点关注对象。一旦确定了关键资产,还要确定并记录它们的存储、处理、管理和潜在销毁方式。哪些技术与这些资产相关联?它们是如何连接的?哪些用户可以访问这些资产以及出于什么目的?谁可能想要妥协/披露这些资产?为什么?如果这些资产被泄露/泄露会发生什么后果?对这些问题的回答有助于识别、分类和优先考虑可能影响这些资产的潜在漏洞。2.CVSS分数不是一切在对补救措施进行排名时最常犯的错误之一是将通用漏洞评分系统(CVSS)分数与风险值等同起来。虽然CVSS分数反映了漏洞的性质以及它在被武器化后的行为方式,但这些是标准化的,并不反映上述两个确定漏洞特定风险值的变量——武器化的可能性和公司的特定潜力。影响。事实上,2014年一项关于CVSS分数的研究发现,“仅根据CVSS分数修复漏洞无异于随机选择修复程序。”研究还发现,虽然一个漏洞的CVSS评分与其被武器化的概率似乎并不相关,但还有其他相关因素,包括:是否存在利用该漏洞的概念验证代码,是否存在利用该漏洞的概念验证代码。在深网论坛和暗网市场等非法在线社区中提到代码。鉴于绝大多数常见漏洞和暴露(CVE)从未被武器化,该研究的结论具有一定的实际意义。具有高CVSS分数的CVE只有在恶意黑客可以将其武器化时才是真正的威胁。但要将漏洞武器化,黑客必须首先确定一种武器化方法,这通常需要概念验证(POC)代码。使用或开发POC代码的过程通常涉及大量试验和错误。如果不与深层/暗网和其他非法在线社区中的其他黑客互动,大多数黑客通常无法获得其中的一席之地。也就是说,无论CVSS评分高低,POC代码的存在和相关的黑客讨论都需要作为评估漏洞时的重要风险因素。3.风险评估框架为修复顺序优化风险评估过程可以考虑使用评估框架。有许多现成的风险评估框架,其中一些是特定监管机构强制或推荐的,这些现成的框架可以帮助安全团队更有效地评估、确定优先级和管理不同的风险。但无论采用哪种框架,都需要根据公司的具体环境和风险因素来实施。也就是说,你需要统计资产,评估资产被黑客攻击的潜在影响,判断漏洞武器化的概率。无论是否应用漏洞风险评估框架,如果没有上述信息,就无法准确评估漏洞对公司的具体风险。除此之外,请记住,虽然合规性不应该是安全计划的最终目标,但个别合规性要求强调风险肯定是有原因的。有效的漏洞管理,尤其是修复行动的合理排序,只有基于风险才是可行的。CVSS评分原创研究报告:https://www.researchgate.net/publication/270697273_Comparing_Vulnerability_Severity_and_Exploits_Using_Case-Control_Studies【本文为专栏作家“李少鹏”原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】点此阅读作者更多好文
