通用漏洞评分系统(CVSS)评分已被视为确定漏洞优先级的主要标准。漏洞的CVSS分数范围从1到10(10分最严重)。然而,它们却从没打算被用作确定漏洞优先级。如果您仅依靠CVSS评分来保护您的组织,那么您可能用错了,一起来看看原因吧。
由于CVSS是一个行业公开标准,面对持续激增的漏洞,组织更倾向于依靠CVSS评分来确定优先级。但是CVSS评分也存在很多问题。例如,在组织中,通常将严重程度得分超过7的漏洞都视为高风险。每年发现的总漏洞中有很大一部分属于此类别。
微软2019年发布的787个通用漏洞披露(CVE)中,有731个漏洞的严重程度为7分或7分以上。
这些中只有一小部分会在网络攻击中被利用。因为对漏洞的利用是基于攻击者可以利用其获取利益,换句话说,攻击者可以利用其对组织造成影响。漏洞利用的技术可行性以及概念验证的公开可用性等因素也影响黑客对漏洞利用的决定。
CVSS分数将在发现漏洞后的两周内评定,并且不会再修改。有时,严重程度较低的漏洞在披露后被广泛利用,而从未反映在CVSS评分中。
你知道吗?在2019年报告的针对Microsoft Windows操作系统及其应用程序的12个被广泛利用的漏洞中,有9个仅被分类为重要,而不是关键漏洞。
仅基于CVSS和严重程度等级确定漏洞优先级的组织,将处理大量被分类为严重但实际几乎没有风险的漏洞,这就失去了对漏洞进行优先级排序的意义。结果就是,大量的精力被分散到很少利用的漏洞上,而需要立即关注的重要漏洞仍然暴露。这将会给你一种错误的安全感。
要使漏洞管理付出的努力与回报成正比,组织应采用多维度的、基于风险的优先级排序方法,优化基于CVSS评分得出的评估,评估维度包括:暴露时间、利用可用性、当前利用活动、受影响的资产数量、受影响的资产关键性、影响类型和补丁可用性。
现在,我们已经建立了严格评估您的风险所必需的变量,我们来探讨一下如何聚焦关键漏洞并采取最佳实践。
了解漏洞的可用性和漏洞活动
知道某个漏洞是否公开可用对于漏洞优先级的确认至关重要。无论严重程度如何,这些都是需要立即注意的漏洞,因为这些漏洞很容易被利用,任何人都可以利用其侵入您的网络并窃取敏感数据。
安全团队应该积极利用最新披露的漏洞,保持对攻击者活动的最新了解,并将注意力和精力集中在解决高危漏洞上。
将受影响的资产数量和关键性列入漏洞优先级排序
资产的重要程度是不同的。比如Web服务器位于您网络的外围并且暴露于Internet,很容易成为黑客的目标。定义评估范围时,数据库服务器(记录着大量信息,如客户的个人信息和付款明细)也应优先于其他资产,因为对于像这样的关键业务资产来说,即使是漏洞级别较低的漏洞也可能造成高风险损失。
此外,如果发现中等到关键级别的漏洞正在影响较大比例的IT资产,则必须立即对其进行修补以降低总体风险。在这种情况下,一个能够使用单个补丁部署任务就消除多个终端中的漏洞的漏洞管理工具,就显得尤为重要。
确定漏洞在终端潜伏了多长时间
一旦发现漏洞,安全团队和攻击者之间争分夺秒的竞赛就开始了。确定高危漏洞在您的终端中潜伏了多长时间至关重要。让漏洞长时间驻留在您的网络中就代表着脆弱的安全体系架构。
一开始看起来似乎不那么严重的漏洞,随着时间的推移,可能会变得致命,因为攻击者最终会开发出可以利用这些漏洞的程序。最佳实践是立即解决已知漏洞或被积极利用的漏洞,然后解决标记为关键的漏洞。归类为重要的漏洞通常较难利用,但一般来说,应在30天内修复。
根据影响类型分类漏洞
尽管利用的易用性在风险评估中占着很大比重,但可利用的漏洞并不一定就会受到攻击。实际上,攻击者选择要利用的漏洞,并不会仅因为漏洞可用或便于攻击,他们利用漏洞最终是要达成目标。只有在这样的前提下,才会考虑漏洞的可用性和易用性。
漏洞的影响可能包括但不限于拒绝服务、远程代码执行、内存损坏、特权提升、跨站点脚本和敏感数据泄露。更令人头疼的是蠕虫级漏洞,该漏洞使得任何将要利用它们的恶意软件都可以在无需用户干预的情况下,从一个易受攻击的计算机传播到另一个易受攻击的计算机。
CVSS评分并不是漏洞管理中唯一存在问题的部分。您可能也遇到过这些问题:
我应该多久扫描一次网络?我应该重点关注哪些方面?漏洞管理真的会降低风险吗,还是仅仅是一项合规事务?我是否应该使用其他工具进行漏洞评估和补丁管理?我的安全体系架构是否应该完全依赖补丁?如果我的网络存在零日漏洞该怎么办?
如果您正在寻找答案,别再找了。我们最新的ManageEngine电子书,7个安全管理重大问题的答案,将为您解答。这本书不仅提供了对这些问题的深入见解,而且还可以作为综合指南,指导您在漏洞管理工作的各个阶段采取最佳实践。
使用基于上述风险因素分析漏洞的解决方案,可以帮助您更好地分类漏洞,并为组织采取合适的安全措施。ManageEngine Vulnerability Manager Plus,一个由优先级驱动的威胁和漏洞管理解决方案,为您完美解决以上漏洞问题。
立即试用ManageEngine30天免费的Vulnerability Manager Plus开始您的漏洞评估体验吧 。