基于风险的漏洞管理是合规的必备
|
裂痕打点与合规相辅相成。正如遵循特定禁锢尺度有助于有用打点裂痕,有用打点裂痕也有助于规避可致违规的安详变乱。
但鉴于差异禁锢机构尺度差异,既有用且合规的裂痕打点对差异组织机构而言也许意味着差异的对象。但有一个破例:风险!全部尺度都夸大了风险!详细有:
许多禁锢尺度都要求评估风险并以此做出适当相应才气告竣并维持合规,以上几条不外摘录一二罢了。在裂痕打点语境下,如 PCI DSS 要求 6.1 所述,合规就意味着基于风险给裂痕排序并修复。 但因为裂痕对各家公司意义差异,要做到按风险打点裂痕并不轻易。精确评估起主要确定:
想要确定这几个变量,以下提议可供参考: 1. 相识资产环境 也许影响要害资产的裂痕绝对要优先修复。对大大都企业而言,要害资产包罗但不范围于合用于一个或多个安详合规要求的那些。好比说,受 HIPAA 统领的公司企业就要出格存眷含有小我私人康健信息的资产;PCI DSS 辖下公司应重视付出卡数据;GDPR 禁锢下的公司企业还要将用户数据也纳入重点存眷工具。 辨认出要害资产后,还要确定并记录下其存储、处理赏罚、打点和也许被粉碎的方法。与这些资产相干联的技能有哪些?怎么毗连的?哪些用户可以出于哪种目标会见这些资产?哪些人也许会想粉碎/泄漏这些资产?为什么?这些资产一旦被粉碎/泄漏,会造成什么效果?此类题目的谜底有助于辨认、分类和排序也许影响这些资产的隐藏裂痕。 2. CVSS评分不代表统统 排序修复举措时最常犯的一个错误,是将通用裂痕评分体系 (CVSS) 的分数等同于风险值。尽量 CVSS 评分能反应出裂痕本质和裂痕兵器化后的也许举动方法,但这些都是尺度化的,并不能反应出上述两个抉择裂痕特定风险值的变量——兵器化概率和针对公司的特定隐藏影响。 究竟上,2014 年针对 CVSS 评分的研究就发明,“仅按照 CVSS 评分坎坷修复裂痕,无异于随机拣取裂痕修复。” 该研究还发明,尽量裂痕的 CVSS 评分好像与其兵器化概率并无关联,但有其他身分与之相干,包罗:是否存在裂痕操作观念验证代码,深网论坛、暗网市场等犯科在线社区是否提到该裂痕操作代码等。 鉴于绝大大都通用裂痕与袒露 (CVE) 从未兵器化,该研究的结论具有必然现实意义。高 CVSS 评分的 CVE 只有在恶意黑客能兵器化的时辰才是真正的威胁。但要兵器化裂痕,黑客起首得确定兵器化要领,而这凡是都必要观念验证 (POC) 代码。行使或开拓 POC 代码的进程每每包括大量试错。若不在深/暗网和其他犯科在线社区中与此外黑客交换,大都黑客一样平常是搞不定的。 换句话说,无论 CVSS 评分是高是低,评估裂痕时都必要将是否存在 POC 代码和相干黑客接头作为重要风险身分加以考量。 3. 风险评估框架 出于修复排序目标的风险评估进程优化可以思量回收评估框架。现成的风险评估框架有许多,个中一些照旧特定禁锢机构逼迫要求或提议回收的,这些现成的框架都能辅佐安详团队更有用地评估、排序和打点差异风险。 但无论回收哪种框架,都必要按照公司特定情形和风险身分加以实现。也就是说,你必要统计资产,评估资产被黑的隐藏影响, 判定裂痕兵器化概率。无论有没有应用裂痕风险评估框架,缺了上述信息都无法精确评估裂痕对公司的特定风险。 除此之外,还需服膺:固然合规不该是安详项目标最终方针,但各个合规要求都夸大风险肯定是有缘故起因的。有用打点裂痕,尤其是公道排序修复举措,只有基于风险才是可行的。 针对 CVSS 评分的研究陈诉原文: https://www.researchgate.net/publication/270697273_Comparing_Vulnerability_Severity_and_Exploits_Using_Case-Control_Studies 【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安详牛(微信公家号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文
(编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
