通用漏洞評分系統(CVSS)評分已被視為確定漏洞優先級的主要標準。漏洞的CVSS分數范圍從1到10(10分最嚴重)。然而,它們卻從沒打算被用作確定漏洞優先級。如果您僅依靠CVSS評分來保護您的組織,那么您可能用錯了,一起來看看原因吧。
由于CVSS是一個行業公開標準,面對持續激增的漏洞,組織更傾向于依靠CVSS評分來確定優先級。但是CVSS評分也存在很多問題。例如,在組織中,通常將嚴重程度得分超過7的漏洞都視為高風險。每年發現的總漏洞中有很大一部分屬于此類別。
微軟2019年發布的787個通用漏洞披露(CVE)中,有731個漏洞的嚴重程度為7分或7分以上。
這些中只有一小部分會在網絡攻擊中被利用。因為對漏洞的利用是基于攻擊者可以利用其獲取利益,換句話說,攻擊者可以利用其對組織造成影響。漏洞利用的技術可行性以及概念驗證的公開可用性等因素也影響黑客對漏洞利用的決定。
CVSS分數將在發現漏洞后的兩周內評定,并且不會再修改。有時,嚴重程度較低的漏洞在披露后被廣泛利用,而從未反映在CVSS評分中。
你知道嗎?在2019年報告的針對MicrosoftWindows操作系統及其應用程序的12個被廣泛利用的漏洞中,有9個僅被分類為重要,而不是關鍵漏洞。
僅基于CVSS和嚴重程度等級確定漏洞優先級的組織,將處理大量被分類為嚴重但實際幾乎沒有風險的漏洞,這就失去了對漏洞進行優先級排序的意義。結果就是,大量的精力被分散到很少利用的漏洞上,而需要立即關注的重要漏洞仍然暴露。這將會給你一種錯誤的安全感。
要使漏洞管理付出的努力與回報成正比,組織應采用多維度的、基于風險的優先級排序方法,優化基于CVSS評分得出的評估,評估維度包括:暴露時間、利用可用性、當前利用活動、受影響的資產數量、受影響的資產關鍵性、影響類型和補丁可用性。
現在,我們已經建立了嚴格評估您的風險所必需的變量,我們來探討一下如何聚焦關鍵漏洞并采取最佳實踐。
了解漏洞的可用性和漏洞活動
知道某個漏洞是否公開可用對于漏洞優先級的確認至關重要。無論嚴重程度如何,這些都是需要立即注意的漏洞,因為這些漏洞很容易被利用,任何人都可以利用其侵入您的網絡并竊取敏感數據。
安全團隊應該積極利用最新披露的漏洞,保持對攻擊者活動的最新了解,并將注意力和精力集中在解決高危漏洞上。
將受影響的資產數量和關鍵性列入漏洞優先級排序
資產的重要程度是不同的。比如Web服務器位于您網絡的外圍并且暴露于Internet,很容易成為黑客的目標。定義評估范圍時,數據庫服務器(記錄著大量信息,如客戶的個人信息和付款明細)也應優先于其他資產,因為對于像這樣的關鍵業務資產來說,即使是漏洞級別較低的漏洞也可能造成高風險損失。
此外,如果發現中等到關鍵級別的漏洞正在影響較大比例的IT資產,則必須立即對其進行修補以降低總體風險。在這種情況下,一個能夠使用單個補丁部署任務就消除多個終端中的漏洞的漏洞管理工具,就顯得尤為重要。
確定漏洞在終端潛伏了多長時間
一旦發現漏洞,安全團隊和攻擊者之間爭分奪秒的競賽就開始了。確定高危漏洞在您的終端中潛伏了多長時間至關重要。讓漏洞長時間駐留在您的網絡中就代表著脆弱的安全體系架構。
一開始看起來似乎不那么嚴重的漏洞,隨著時間的推移,可能會變得致命,因為攻擊者最終會開發出可以利用這些漏洞的程序。最佳實踐是立即解決已知漏洞或被積極利用的漏洞,然后解決標記為關鍵的漏洞。歸類為重要的漏洞通常較難利用,但一般來說,應在30天內修復。
根據影響類型分類漏洞
盡管利用的易用性在風險評估中占著很大比重,但可利用的漏洞并不一定就會受到攻擊。實際上,攻擊者選擇要利用的漏洞,并不會僅因為漏洞可用或便于攻擊,他們利用漏洞最終是要達成目標。只有在這樣的前提下,才會考慮漏洞的可用性和易用性。
漏洞的影響可能包括但不限于拒絕服務、遠程代碼執行、內存損壞、特權提升、跨站點腳本和敏感數據泄露。更令人頭疼的是蠕蟲級漏洞,該漏洞使得任何將要利用它們的惡意軟件都可以在無需用戶干預的情況下,從一個易受攻擊的計算機傳播到另一個易受攻擊的計算機。
使用基于上述風險因素分析漏洞的解決方案,可以幫助您更好地分類漏洞,并為組織采取合適的安全措施。ManageEngineVulnerabilityManagerPlus,一個由優先級驅動的威脅和漏洞管理解決方案,為您完美解決以上漏洞問題。點擊“閱讀原文”,查看演示,并獲取ManageEngine30天免費的VulnerabilityManagerPlus,開始您的漏洞評估體驗吧!
