由於cvss是乙個行業公開標準,面對持續激增的漏洞,組織更傾向於依靠cvss評分來確定優先順序。但是cvss評分也存在很多問題。例如,在組織中,通常將嚴重程度得分超過7的漏洞都視為高風險。每年發現的總漏洞中有很大一部分屬於此類別。
微軟2023年發布的787個通用漏洞披露(cve)中,有731個漏洞的嚴重程度為7分或7分以上。
這些中只有一小部分會在網路攻擊中被利用。因為對漏洞的利用是基於攻擊者可以利用其獲取利益,換句話說,攻擊者可以利用其對組織造成影響。漏洞利用的技術可行性以及概念驗證的公開可用性等因素也影響黑客對漏洞利用的決定。
cvss分數將在發現漏洞後的兩周內評定,並且不會再修改。有時,嚴重程度較低的漏洞在披露後被廣泛利用,而從未反映在cvss評分中。
你知道嗎?在2023年報告的針對microsoft windows作業系統及其應用程式的12個被廣泛利用的漏洞中,有9個僅被分類為重要,而不是關鍵漏洞。
僅基於cvss和嚴重程度等級確定漏洞優先順序的組織,將處理大量被分類為嚴重但實際幾乎沒有風險的漏洞,這就失去了對漏洞進行優先順序排序的意義。結果就是,大量的精力被分散到很少利用的漏洞上,而需要立即關注的重要漏洞仍然暴露。這將會給你一種錯誤的安全感。
要使漏洞管理付出的努力與回報成正比,組織應採用多維度的、基於風險的優先順序排序方法,優化基於cvss評分得出的評估,評估維度包括:暴露時間、利用可用性、當前利用活動、受影響的資產數量、受影響的資產關鍵性、影響型別和補丁可用性。
現在,我們已經建立了嚴格評估您的風險所必需的變數,我們來**一下如何聚焦關鍵漏洞並採取最佳實踐。
了解漏洞的可用性和漏洞活動
知道某個漏洞是否公開可用對於漏洞優先順序的確認至關重要。無論嚴重程度如何,這些都是需要立即注意的漏洞,因為這些漏洞很容易被利用,任何人都可以利用其侵入您的網路並竊取敏感資料。
安全團隊應該積極利用最新披露的漏洞,保持對攻擊者活動的最新了解,並將注意力和精力集中在解決高危漏洞上。
將受影響的資產數量和關鍵性列入漏洞優先順序排序
資產的重要程度是不同的。比如web伺服器位於您網路的外圍並且暴露於internet,很容易成為黑客的目標。定義評估範圍時,資料庫伺服器(記錄著大量資訊,如客戶的個人資訊和付款明細)也應優先於其他資產,因為對於像這樣的關鍵業務資產來說,即使是漏洞級別較低的漏洞也可能造成高風險損失。
此外,如果發現中等到關鍵級別的漏洞正在影響較大比例的it資產,則必須立即對其進行修補以降低總體風險。在這種情況下,乙個能夠使用單個補丁部署任務就消除多個終端中的漏洞的漏洞管理工具,就顯得尤為重要。
確定漏洞在終端潛伏了多長時間
一旦發現漏洞,安全團隊和攻擊者之間爭分奪秒的競賽就開始了。確定高危漏洞在您的終端中潛伏了多長時間至關重要。讓漏洞長時間駐留在您的網路中就代表著脆弱的安全體系架構。
一開始看起來似乎不那麼嚴重的漏洞,隨著時間的推移,可能會變得致命,因為攻擊者最終會開發出可以利用這些漏洞的程式。最佳實踐是立即解決已知漏洞或被積極利用的漏洞,然後解決標記為關鍵的漏洞。歸類為重要的漏洞通常較難利用,但一般來說,應在30天內修復。
根據影響型別分類漏洞
儘管利用的易用性在風險評估中佔著很大比重,但可利用的漏洞並不一定就會受到攻擊。實際上,攻擊者選擇要利用的漏洞,並不會僅因為漏洞可用或便於攻擊,他們利用漏洞最終是要達成目標。只有在這樣的前提下,才會考慮漏洞的可用性和易用性。
漏洞的影響可能包括但不限於拒絕服務、遠端**執行、記憶體損壞、特權提公升、跨站點指令碼和敏感資料洩露。更令人頭疼的是蠕蟲級漏洞,該漏洞使得任何將要利用它們的惡意軟體都可以在無需使用者干預的情況下,從乙個易受攻擊的計算機傳播到另乙個易受攻擊的計算機。
cvss評分並不是漏洞管理中唯一存在問題的部分。您可能也遇到過這些問題:
我應該多久掃瞄一次網路?我應該重點關注哪些方面?漏洞管理真的會降低風險嗎,還是僅僅是一項合規事務?我是否應該使用其他工具進行漏洞評估和補丁管理?我的安全體系架構是否應該完全依賴補丁?如果我的網路存在零日漏洞該怎麼辦?
如果您正在尋找答案,別再找了。我們最新的manageengine電子書,7個安全管理重大問題的答案,將為您解答。這本書不僅提供了對這些問題的深入見解,而且還可以作為綜合指南,指導您在漏洞管理工作的各個階段採取最佳實踐。
使用基於上述風險因素分析漏洞的解決方案,可以幫助您更好地分類漏洞,並為組織採取合適的安全措施。manageengine vulnerability manager plus,乙個由優先順序驅動的威脅和漏洞管理解決方案,為您完美解決以上漏洞問題。
立即試用manageengine30天免費的vulnerability manager plus開始您的漏洞評估體驗吧 。
如何鑑別不同手機
用 鑑別不同手機 imei 國際移動裝置識別碼 imei international mobile equipment identification number 是區別移動裝置的標誌,儲存在移動裝置中,可用於監控被竊或無效的移動裝置。imei組成如下圖所示,移動終端裝置通過鍵入 06 即可查得。其...
鑑別 日版iPhone如何通過IMEI查詢運營商
softbank au docomo是日本的三大運營商,以前日本不同運營商的iphone在型號上進行區分,但iphone5s 5c上三個運營商的型號都一致,所以無法在型號上對運營商進行區分,本文介紹通過運營商官網查詢imei確定運營商的方法 softbank 可能直接點開是softbank首頁,多點...
如何高效讀書
雖然有人英文很強,有的翻譯很差,但anyway 中文閱讀與理解的時間,略讀與快速定位的速度還是要快一些。2.即時批註 總結筆記與交流 雖然愛書,但發現最有效的讀書方式還是不斷的製造脂批本,讀書時在重要的文字下劃線,把自己的心得寫在頁旁。在明天覆習一次批註,最好可以有空重新整理筆記,或者拿來與人討論。...