你不能解决所有问题:如何以反应为漏洞补救方法

框架和标准优先漏洞修复继续进化,然而太多的组织仅仅依靠CVSS为事实上的度量风险管理。在这里,我们讨论其他重要的框架和提供指导如何站得住脚的帮助。

成功的风险管理程序需要有一个战略优先漏洞修复的最有效方式。给定数量的cf发表在《国家漏洞数据库(NVD)每年在2022 - 20000和cf的数量可能需要修复在多个产品,这不是可行的安全与it团队来解决一切。

不幸的是,直到最近,这个行业中使用的框架和标准来帮助识别和优先考虑先解决哪漏洞已经完全没有或不足。因素有很多,可以考虑来确定是什么使一个漏洞解决比另一个更重要,和每个组织都有自己的独特的需求和期望。然而,在任何情况下有三个基本元素,应考虑为了以反应为脆弱性管理方法。这些元素是:

• 影响:对受影响的应用程序或系统的影响,以及组织,是否成功地利用该漏洞?理解任何漏洞的影响可以在您的特定组织首先确定优先考虑哪些是至关重要的。
• 开发的可能性:并不是所有的漏洞都创造了同样和一些比其他的更容易利用。很多攻击者的目标是最低挂水果,所以了解漏洞可采或正在积极利用wto实际上是至关重要的。
• 资产价值:攻击者寻找最高的资产价值。例如,牺牲一个开发系统,没有任何有价值的东西可能提供一个立足点,但它不会损害一样有趣的目标域控制器或一个公司的企业资源规划(ERP)系统。在今天复杂的系统和环境与企业运营,资产价值并不总是那么简单弄清楚是否运行关键软件系统本身。的角色和权限授予用户系统可以同样重要的是,当我们考虑资产价值。确定资产价值需要有一个全面的身份数据视图。

漏洞管理始于CVSS

虽然不是其想要的用例,普通危险得分系统(CVSS),在许多组织中,成为优先考虑的事实意味着漏洞修复。这主要是由于缺乏行业内的其他任何可用的评分标准。CVSS从未打算成为一个优先修复机制根据实际风险,而是仅仅是衡量一个脆弱性的影响会剥削。

CVSS标准发展自成立以来,与CVSSv3被当前的标准。CVSSv3出版于2015年,目的是在CVSSv2解决的一些重大缺陷,最大的是识别漏洞,开发,可能导致资源的妥协之外的原始应用程序的范围。CVSSv3.1发表几年后,但它主要是解决指导分析而不是实际得分不足。在这些改进欢迎,CVSSv3仍然是最好的作为测量的严重程度,而不是风险。

CVSS基础指标是由两个组成部分——可利用性指标和指标的影响。漏洞的可利用性指标描述方面可能更容易或难以利用,如是否需要身份验证或剥削是否需要欺骗某人采取行动。指标描述post-exploitation影响的影响分解为机密性、完整性和可用性。

CVSS时间度量,CVSS基向量的延伸,采取小步的方向捕捉风险通过合并一个利用成熟度指标,但即使是这种下降显著短至只有有史以来最成熟的利用可用的脆弱性。因此,剥削和资产价值失踪的可能性在大多数组织的风险优先级进程。

CVSS还提供了一个环境指标,使一个组织调整CVSS分数基于特定于环境的特点。环境指标可以为优先级使CVSS更有用,但是很难实现在规模和很少使用。

使用CVSS作为优先级机制的另一个核心问题是,评分系统导致高太多,任何组织成功的关键漏洞修复。

来源:站得住脚的研究,2023年1月

2022年有超过20000 cf出版NVD其中40%获得高严重程度和重要程度超过17%。换句话说,超过半数的2022年发表cf需要near-immediate注意任何组织,基地的补救服务水平协议(sla) CVSSv3评级。这不是可持续的。CVSS的核心限制是它没有考虑开发的风险。基于可观测数据,站得住脚的研究证据概念验证可用性或实际开发的只有15%的cf出版。当我们进一步关注漏洞我们有证据证明已利用该漏洞在野外,所有cf的比例下降到3%左右。

网络安全行业发展的脆弱性优先级如何

脆弱性管理框架中我们看到一个演化在过去的几年中,与几个努力旨在提供以反应为优先级,通过融合开发可能性上下文。下面,我们探索两个核心框架:利用预测评分系统(系统)和Stakeholder-Specific脆弱性分类(SSVC)。

支付系统

根据事件反应和安全队的论坛(第一次)利用预测评分系统(系统)是“一个开放的、数据驱动的努力估计的可能性(概率),在野外将利用软件漏洞。”系统的目标是使防守更好地管理漏洞修复从实际开发数据利用当前的威胁信息。概率模型产生一个分数在0和1之间,表示将利用漏洞的可能性。

系统主要是集中在克服CVSS的事实并不提供任何测量开发风险。不幸的是,系统不提供任何指导开发的影响或脆弱的资产的重要性,所以自己是不够了解决策以反应为优先。

SSVC

Stakeholder-Specific脆弱性分类(SSVC)是一种脆弱性分析方法由卡内基梅隆大学软件工程研究所与美国合作网络和基础设施安全机构(CISA)。据中钢协,核心SSVC方法论看着脆弱的开发状态,影响安全和患病率受影响的产品。SSVC的另一个重要方面是,它被设计成一个可定制的决策树针对公司的优先级要求。

中钢协SSVC指南

中国钢铁工业协会最近出版了一本指南基于其SSVC的实现。中钢协SSVC决策树看着五个值:

• 开发现状:这决定了开发一个基于漏洞的当前状态信息的分析。
• 技术影响:技术类似于CVSS基础分数的影响严重程度的概念。
• 自动化:自动化程度代表了安逸和利用可以传播的速度。
• 使命患病率:Mision流行代表了关键的应用程序或资产是如何组织的功能。从原始SSVC框架是一个重要的区别,使命流行不仅仅是一个计数的影响实例。
• 公共健康影响:这看起来在一个影响系统妥协对人类的影响。

据中钢协指南,优先使用这五个值达到四种可能的决定之一:

• 跟踪:漏洞不需要行动。组织将继续跟踪脆弱性和重新评估,如果新的信息可用。中钢协建议修正这些跟踪漏洞在标准更新时间表。
• 跟踪*:包含脆弱性变化的具体特征,可能需要更密切的监控。中钢协建议修正这些跟踪*漏洞在标准更新时间表。
• 参加:漏洞需要关注组织的内部,管理级别的人。必要措施包括请求帮助或信息的脆弱性,并可能涉及内部和/或外部发布通知。中钢协建议修正这些参加漏洞早于标准更新时间表。
• 行为:漏洞需要关注组织的内部,管理级别和领导层的个人。必要的行动包括请求援助或漏洞信息,以及发布通知内部和/或外部。一般来说,内部组织将确定总体响应,然后执行商定的行动。中钢协建议修正这些缺陷尽快行动。

标准的一个突出问题是,“更新时间”没有定义良好的指导。如果目的是“标准更新时间表”无论现有的sla组织,这些通常是基于CVSS指标和可以为任何非常紧密的评价是一个关键的弱点。在另一方面,如果这句话被视为“每当业务通常会去修补软件”这将创建一个不透明的优先级或越来越多的永远不会修补漏洞。

SSVC旨在提供所有的基本元素——影响,剥削和使命临界为资产的可能性。此外,SSVC通过设计,是可定制的组织可以调整决策树以满足他们的需要。虽然SSVC向前迈出的重要一步,是一个有用的框架,基于风险的优先级,许多组织将面临障碍,其中一些重要的,在实施框架。获得可靠和准确的情报威胁,拥有强大理解资产上下文的所有资产,包括身份和云,和发展中一个具有一定规模的系统进行分析和优化需要高度的成熟和重大投资。

以反应为优先级与站得住脚的

自2018年以来,站得住脚的提供了大量功能,实现以反应为优先级的概念。我们有弱点和资产分数不仅实现脆弱性的基本测量的影响,开发的可能性和资产临界,但在一个可伸缩的方式不需要客户维护复杂的数据跟踪系统。此外,我们有一些报告和仪表板,关注顾客可以采取最有效的措施,以减少风险资产。这些功能纳入成立一个风险管理平台,包括:

脆弱性优先级评级

站得住脚的脆弱性优先级评级(冲程体积)可以帮助用户优先漏洞修复被分配一个评级基于两个核心组件:技术的影响和威胁。冲程体积使用CVSSv3“影响”的得分来衡量对保密的技术影响,完整性和可用性剥削的脆弱性。添加到技术的影响是一个威胁组件,既反映了最近的活动对脆弱性和潜在的未来的威胁。这是至关重要的,因为它意味着风险与脆弱性将成为威胁景观的发展,确保公司关注今天的最重要的漏洞,而不是在一个日益增长的漏洞被利用在过去。

资产临界评级

站得住脚的资产临界评级(ACR)代表一个资产的相对风险作为整数从1到10,ACR更高价值表明更大的风险。ACR是反映资产的风险如位置在您的网络和基于测量接近互联网,设备类型和设备的能力。ACR能帮助用户确保这些设备可能会对业务功能的影响最高优先修复。

建议的行动

站不住脚的建议行动能力确定的集合处理用户可以应用,以产生最大的影响在减少网络ofactions风险最小的号码。这种聚合物的发现基于supersedence链显示顶层补丁,而不是一系列补丁,申请一个给定的产品,然后对聚合计算风险减少脆弱性风险等级和资产临界。采取这些行动帮助企业识别以反应为优先级,在更大的尺度上,而不必执行重要的人工分析的各种漏洞和资产。

攻击路径分析

超越的核心基础理解脆弱性风险和资产临界,成立一个新功能,攻击路径分析,允许用户更好地理解攻击路径存在在他们的基础设施。用户可以进一步他们的优先级努力关注关键链中存在的漏洞,攻击者会特别感兴趣的。这些攻击路径可能途径,攻击者将杠杆来获得公司的在现实世界中攻击最关键的资源,因此,优先为修复至关重要。

把它放在一起

客户可以以许多不同的方式利用这些数据根据站得住脚的他们正在使用的产品。

成立一个

成立一个客户能够利用我们的全套工具,包括站得住脚的。io,站得住脚的。cs,站得住脚的。广告和攻击路径分析得到一个完整的环境,除了传统的脆弱性管理资产。资产概述功能在成立一个允许用户看到他们所有的资产及其相关资产敞口得分,得分结合两冲程体积和ACR创建一个风险评分对于一个给定的资产(见下面的例子)。

来源:站得住脚的研究,2023年1月

正如前面所讨论的,推荐的操作视图使组织能够识别一组行动,将最大限度地减少风险(见下面的例子)。

来源:站得住脚的研究,2023年1月

站得住脚的。sc仪表板提供了ACR总结(//www.yyueer.com/sc-dashboards/acr-summary),包括一个组件ACR总结——突显出补丁(冲程体积和ACR 7 - 10)。这些都是资产的风险和漏洞,有很高的开发、高技术的影响,代表是一个高风险的资产。

来源:站得住脚的研究,2023年1月

站得住脚的。sc和站得住脚的Lumin

站得住脚的。sc和站得住脚的Lumin客户还可以利用解决方案和推荐行为的观点,分别确定修复他们可以应用,将达到最高的风险减少最有效的方式。这些观点使风险降低,考虑到主机的数量影响,漏洞的数量将矫正和冲程体积分数最高的漏洞修复。

外卖

开发一个风险管理程序需要采取以反应为漏洞补救方法远远超出CVSS指标。没有一个解决方案是适合每个组织。当我们看到积极的步骤在工业框架在过去的几年中,仍有许多障碍需要克服。你是否准备好开始接触管理程序或只是想拥抱一个更以反应为漏洞补救方法,成立有几个解决方案,提供成熟的和可伸缩的功能。

了解更多

• 读博客:介绍成立一个风险管理平台
• 下载白皮书:3实际网络安全组织面临的挑战:风险管理如何帮助
• 查看按需网络研讨会:介绍成立一个投资管理平台:现在你可以预见到可能的攻击和主动降低网络风险