什么是预测优先级和它在基于风险的脆弱性管理中的作用是什么?
遗留漏洞管理返回一个山的脆弱性数据很困难,如果不是不可能安全团队挖出来,知道哪些漏洞修复的优先顺序。
基于风险的脆弱性管理,另一方面,使用工具,帮助您优先考虑你的实际风险,减少脆弱性超载97%。
一个有效的方法可以优化你的漏洞是站不住脚的预测优先级。预测优先加强你的漏洞管理过程,因为它减少了需要你的及时关注和发现的漏洞数量3%的你应该先关注。
预测优先依赖于机器学习识别一些漏洞,对您的组织构成最大的风险。它给你持续的和完整的洞察现代攻击表面。
预测优先使用站得住脚的脆弱性数据和结合,与第三方数据脆弱性和威胁。然后分析他们与一个先进的数据科学算法站得住脚的研究开发。
通过一种以风险为基础的综合脆弱性分析方法,预测优先级决定了攻击者可以利用可能性对你的组织一个弱点。
夜间预测优先级更新,分析109000年明显的漏洞。然后,它
预测如果攻击者可能会利用漏洞在不久的将来。
与普通危险得分系统(CVSS)传统上用于遗留漏洞管理利率超过60%的漏洞或high-Predictive优先级分配每个漏洞一样重要脆弱性优先级评级(冲程体积)和一个资产临界评级(ACR)为补救有助于确定优先级。
CVSS、冲程体积和ACR在下面更详细地讨论。
脆弱性优先级评级(冲程体积)是什么?
在遗留漏洞管理、普通危险得分系统(CVSS)理论观点的风险漏洞可能会介绍。
CVSS始于0作为最低优先级和上升到十最关键。不幸的是,CVSS评估大约60%的漏洞或关键CVSS分数高的,尽管他们可能对您的组织的危害很小。
CVSS不知道真实的风险,没有考虑到环境中的每个资产的临界。这些至关重要的信息你需要优先考虑有效的补救。
在基于风险的脆弱性管理,成立的预测优先级建立在CVSS和预计可能演员可能利用漏洞的威胁。它还区分现实和理论的风险。站得住脚的补充剂CVSS脆弱性优先级评级(冲程体积)和资产临界评级(ACR)。
一个冲程体积给你更多的洞察风险包括威胁和攻击范围、脆弱性的影响和威胁得分,而一个(ACR)表示每个资产的临界网络基于几个关键因素。
站得住脚的计算一个冲程体积对大多数漏洞,定期更新,以反映当前的威胁环境。
冲程体积使用机器学习算法和威胁情报分析每一个漏洞以往出版的国家漏洞数据库(NVD)。到目前为止,有近144000漏洞NVD发表的。漏洞不列入NVD得不到一个冲程体积;然而,你仍然可以修复这些漏洞基于CVSS分数。
冲程体积范围
冲程体积范围从0.1 - -10.0,高值代表高利用的可能性。
- 关键:9.0至10.0
- 高:7.0至8.9
- 介质:4.0至6.9
- 低:0.1至3.9
冲程体积计算
这里有一些关键的驱动程序用于计算冲程体积:
- 脆弱性年龄:天数自NVD发表了脆弱性
- 影响CVSS分数:NVD-provided CVSSv3影响评分(如果没有NVD得分,站得住脚的脆弱性管理(原名Tenable.io)显示一个Tenable-predicted分数)
- 利用代码成熟度:相对成熟的利用基于存在,成熟,普遍利用情报来自内部和外部来源
- 产品覆盖:独特的产品漏洞的影响的相对数量
- 威胁来源:所有来源相关的威胁事件发生的地方
- 威胁强度:相对强度基于最近观察到的数量和频率相关漏洞威胁事件
- 近因威胁:天数(0 - 730)以来威胁事件发生
- 威胁事件的例子:
- 利用的漏洞
- 上传漏洞利用代码在公共存储库
- 讨论脆弱性的主流媒体
- 安全研究
- 漏洞在社交媒体上的讨论
- 黑暗网络上讨论脆弱性和地下
- 漏洞的黑客论坛上的讨论
冲程体积补充普通危险得分系统(CVSS)用于遗留脆弱性管理。CVSS分数通常排名很多漏洞或关键,即使没有利用活跃在真实世界的场景,所以冲程体积帮助您更好地理解实际的风险。
什么是普通危险得分系统(CVSS分数)吗?
普通危险得分系统(CVSS)是一个理论的漏洞风险。
像冲程体积,CVSS始于0作为最低优先级和上升到十最关键的;然而,CVSS利率大约60%的所有漏洞或关键,尽管他们可能对您的组织的危害很小。
CVSS并不占实际风险或资产临界在您的环境。你需要这些关键的信息,包括在冲程体积,有效地优先考虑补救。
的一篇文章安全周突出显示的一份报告表明,如果一个安全团队专注于医治漏洞完全基于高CVSS分数,这是类似于随机选择一个漏洞修复。
换句话说,CVSS评估不关联的合理可能性利用或即使攻击者曾成功利用在野外的威胁。
什么是临界资产评级(ACR) ?
一个资产临界评级(ACR)代表资产临界每个资产在你的网络。它是基于几个关键指标,如商业目的,资产类型、位置、连接、功能和第三方数据。
acr的范围从0到10。如果一项资产低ACR,它不考虑关键业务。如果是高的,它是。
ACR范围
- 关键:9到10
- 高:7 - 8所示
- 介质:4至6
- 低:1 - 3
站得住脚的价值提供了ACR当你扫描一个资产首次在您的网络。之后,站得住脚的将自动生成一个ACR,每日更新。
你可以定制ACR值来反映您的组织的需求。
计算acr
这里有一些关键的驱动程序用于计算冲程体积:
- 设备类型
- 例如:系统管理程序(主机的设备是一个1型程序虚拟机)或打印机(设备是网络打印机或打印服务器)
- 设备能力
- 设备的商业目的。例如:这是一个文件服务器或一个邮件服务器
- 网络曝光
- 设备的位置在您的网络和接近互联网。例如:它的内部局域网(LAN)中,可能背后防火墙或外部和外面的你的局域网,而不是在防火墙后面。
资产风险评分(AES)是什么?
除了冲程体积和acr,站得住脚的一个问题资产风险评分(AES),可以进一步支持你的基于风险的脆弱性管理方法。
站得住脚的计算基于当前ACR和AES冲程体积与资产相关。它占每个资产的脆弱性威胁,临界和扫描行为量化它的漏洞。
一个AES代表每个资产的相对接触范围在0到1000之间。AES表明高曝光。
什么是网络曝光的分数?
网络曝光的分数(CES)代表您的组织的网络风险,结合你和ACR的冲程体积。
0之间的CES范围(最小的风险)和1000(最高风险)和代表组织中的aes的平均值。
CES帮助你优先考虑补救:
- 检查资产临界
- 分析你的业务目标
- 回顾每一个潜在威胁的严重程度在你的攻击表面
- 确定可能的攻击者可能会利用在接下来的28天的威胁
- 了解流行威胁上下文相关的开发风险是在现实世界中
CES基准也有助于你成功基于风险的脆弱性管理内部和同行组织。
站得住脚的计算你的CES 0到1000之间的数字,所有资产基于AES值扫描在过去的90天。CES越高,风险越高。
网络曝光的分数可用于: