“擇需”修復(fù)，引入資產(chǎn)業(yè)務(wù)價(jià)值維度判定漏洞修復(fù)優(yōu)先級(jí)

在過(guò)去的10年里，每年新增的漏洞數(shù)量都在增長(zhǎng)，絲毫未見(jiàn)衰減的趨勢(shì)。網(wǎng)絡(luò)安全行業(yè)權(quán)威的CVE漏洞庫(kù)報(bào)告顯示，目前累計(jì)已披露的漏洞數(shù)量已經(jīng)達(dá)到了15萬(wàn)之多。在可預(yù)見(jiàn)的未來(lái)5-10年內(nèi)，IT和安全部門(mén)不得不面臨的一個(gè)現(xiàn)實(shí)是：漏洞數(shù)量多且?guī)?lái)的風(fēng)險(xiǎn)將會(huì)長(zhǎng)期存在，無(wú)法將巨大的資源投入到漏洞修復(fù)里來(lái)，需要以“擇需”的視角引入漏洞的評(píng)判標(biāo)準(zhǔn)。

圖片來(lái)源于Security Intelligenc：Top 10 Cybersecurity Vulnerabilities of 2020

那么，在有限的安全資源投入情況下，判定漏洞修復(fù)的優(yōu)先級(jí)就變成了一個(gè)需要慎重考慮的問(wèn)題。我們?nèi)绾巫R(shí)別哪些漏洞需要優(yōu)先修復(fù)? 究竟需要從哪些維度，以什么計(jì)量單位來(lái)計(jì)算漏洞的修復(fù)優(yōu)先級(jí)?

安全行業(yè)權(quán)威的漏洞優(yōu)先級(jí)評(píng)估框架：CVSS

安全行業(yè)內(nèi)通用的做法是參考或者直接使用漏洞的CVSS分值，通過(guò)CVSS分值來(lái)確定漏洞修復(fù)的優(yōu)先級(jí)。在CVSS3.0版本中，漏洞的CVSS值取決于三個(gè)重要的維度：

•基本屬性(Base)

•時(shí)間(Temporal)

•環(huán)境(Environmental)

通過(guò)綜合計(jì)算這三個(gè)屬性值，最后得出最終分?jǐn)?shù)。在這三個(gè)屬性中，基本屬性(Base)通常由漏洞的可利用性和后果嚴(yán)重程度來(lái)決定，不會(huì)隨時(shí)間或者外界因素而變化。時(shí)間(Temporal)屬性通常會(huì)增加漏洞的暴露范圍和潛在可利用性。而環(huán)境(Environmental)則根據(jù)漏洞所處的資產(chǎn)環(huán)境進(jìn)行判定。

大量的漏洞工具實(shí)際上并沒(méi)有真正使用CVSS框架計(jì)算漏洞修復(fù)優(yōu)先級(jí)

從CVSS的模型理論框架上來(lái)看，并沒(méi)有問(wèn)題。

但是，在實(shí)際的漏洞管理工作中， 漏洞環(huán)境因素是與資產(chǎn)緊密相關(guān)的，如果沒(méi)有辦法判斷資產(chǎn)的環(huán)境、屬性、網(wǎng)絡(luò)位置，那么計(jì)算出來(lái)的結(jié)果一定是不夠準(zhǔn)確的。 而市場(chǎng)上大部分的漏洞掃描工具并不能精準(zhǔn)的發(fā)現(xiàn)和識(shí)別資產(chǎn)，更談不上對(duì)資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確計(jì)算了。

大部分漏洞掃描工具都是直接使用NVD給出的漏洞CVSS分值，而這個(gè)最終分值實(shí)際上只能體現(xiàn)漏洞自身所帶來(lái)的威脅情況，遠(yuǎn)不能反映真實(shí)情況。

并且，按照CVSS的計(jì)算模型，只要最終分值超過(guò)7.0就會(huì)變成高危漏洞，而高危漏洞一般都是需要快速修復(fù)的，這就造成了實(shí)際工作中待修復(fù)漏洞數(shù)量急劇上升，給安全管理人員帶來(lái)極大的壓力。

Gartner：從4個(gè)維度進(jìn)行漏洞修復(fù)優(yōu)先級(jí)評(píng)估

Garter的研究結(jié)果顯示，如果要真實(shí)反應(yīng)漏洞的風(fēng)險(xiǎn)程度，需要結(jié)合漏洞和資產(chǎn)兩個(gè)因素綜合考慮，尤其要考慮資產(chǎn)的業(yè)務(wù)價(jià)值。

圖片來(lái)源于Gartner

在評(píng)估資產(chǎn)的業(yè)務(wù)價(jià)值時(shí)，首先需要考慮資產(chǎn)的暴露面情況。 面向公網(wǎng)的資產(chǎn)比內(nèi)網(wǎng)的資產(chǎn)面臨的攻擊風(fēng)險(xiǎn)程度要高的多。毫無(wú)疑問(wèn)，如果同一個(gè)漏洞出現(xiàn)在面向公網(wǎng)的資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)上，如果一定要選一個(gè)優(yōu)先修復(fù)，那么我們當(dāng)然會(huì)選擇先修復(fù)面向公網(wǎng)的資產(chǎn)，將內(nèi)網(wǎng)資產(chǎn)的修復(fù)工作稍稍延后。

其次，資產(chǎn)被攻擊對(duì)業(yè)務(wù)造成的影響有多大，也需要企業(yè)從實(shí)際業(yè)務(wù)角度來(lái)定義。同一個(gè)漏洞， 在一臺(tái)域主機(jī)和一臺(tái)普通的內(nèi)網(wǎng)服務(wù)器上被黑客利用攻擊成功后造成的后果是截然不同的。 如果是域主機(jī)被攻陷，很可能會(huì)造成幾十上百臺(tái)機(jī)器同時(shí)被攻陷。

有了資產(chǎn)維度的考慮，再加上對(duì)威脅情報(bào)，漏洞被利用以后的后果嚴(yán)重程度，可利用性作為參數(shù)?；旧暇涂梢匀娴姆磻?yīng)出漏洞的真實(shí)風(fēng)險(xiǎn)，也就能夠相對(duì)比較準(zhǔn)確的計(jì)算出漏洞的修復(fù)優(yōu)先級(jí)了。

華云安提供的漏洞修復(fù)優(yōu)先級(jí)評(píng)估模型

華云安，作為CNNVD的優(yōu)秀技術(shù)支撐單位，推出了全新的漏洞修復(fù)優(yōu)先級(jí)評(píng)估計(jì)算模型。 在這個(gè)評(píng)估模型中，除了引用漏洞自身危害性，漏洞擴(kuò)散范圍，漏洞情報(bào)以外(詳見(jiàn)圖2)，還引入了資產(chǎn)維度。在資產(chǎn)維度，華云安綜合考慮了設(shè)備的類(lèi)型、設(shè)備具備的能力，以及設(shè)備所起到的作用三個(gè)維度，并對(duì)每一個(gè)維度進(jìn)行相應(yīng)評(píng)分(詳見(jiàn)圖1)。

圖1. 資產(chǎn)維度部分評(píng)分參數(shù)

圖2. 漏洞維度部分評(píng)分參數(shù)

我們可以看到，華云安的整個(gè)漏洞修復(fù)優(yōu)先級(jí)評(píng)分模型中，不僅完善的涵蓋了CVSS框架中所列舉的環(huán)境和時(shí)間維度，而且引入了資產(chǎn)的業(yè)務(wù)價(jià)值作為計(jì)算因子，并允許用戶在實(shí)際應(yīng)用過(guò)程中對(duì)資產(chǎn)的價(jià)值進(jìn)行動(dòng)態(tài)調(diào)整，從而進(jìn)一步校準(zhǔn)漏洞優(yōu)先級(jí)評(píng)分，使其反映真實(shí)的風(fēng)險(xiǎn)情況，從而能夠有效的幫助用戶識(shí)別真正高危的漏洞風(fēng)險(xiǎn)，在有限的安全資源投入情況下，實(shí)現(xiàn)投入產(chǎn)出比的最大化。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）