漏洞管理与合规相辅相成。正如遵循特定监管标准有助于有效管理漏洞,有效管理漏洞也有助于规避可致违规的安全事件。
但鉴于不同监管机构标准不同,既有效且合规的漏洞管理对不同组织机构而言可能意味着不同的东西。但有一个例外:风险!所有标准都强调了风险!具体有:
- PCI DSS 要求 6.1 声明:公司企业必须 “设立漏洞发现过程,并为新发现的安全漏洞赋予风险评分。”
- GDPR 第 32 条要求:实现 “恰当的技术性或组织性措施以确保适合风险情况的安全水平。”
- HIPAA 安全规则强制要求:“评估电子健康信息的机密性、完整性和可用性所面临的潜在风险与漏洞。”
- GLBA 安全规定要求:公司企业须 “识别并评估客户信息风险,评估当前风险控制安全措施的有效性。”
很多监管标准都要求评估风险并以此做出恰当响应才能达成并维持合规,以上几条不过摘录一二而已。在漏洞管理语境下,如 PCI DSS 要求 6.1 所述,合规就意味着基于风险给漏洞排序并修复。
但由于漏洞对各家公司意义不同,要做到按风险管理漏洞并不容易。准确评估首先要确定:
- 漏洞武器化的概率有多高;
- 如果武器化,对特定公司的影响是什么。
想要确定这几个变量,以下建议可供参考:
1. 了解资产情况
可能影响关键资产的漏洞绝对要优先修复。对大多数企业而言,关键资产包括但不局限于适用于一个或多个安全合规要求的那些。比如说,受 HIPAA 管辖的公司企业就要特别关注含有个人健康信息的资产;PCI DSS 辖下公司应重视支付卡数据;GDPR 监管下的公司企业还要将用户数据也纳入重点关注对象。
识别出关键资产后,还要确定并记录下其存储、处理、管理和可能被破坏的方式。与这些资产相关联的技术有哪些?怎么连接的?哪些用户可以出于哪种目的访问这些资产?哪些人可能会想破坏/泄露这些资产?为什么?这些资产一旦被破坏/泄露,会造成什么后果?此类问题的答案有助于识别、分类和排序可能影响这些资产的潜在漏洞。
2. CVSS评分不代表一切
排序修复动作时最常犯的一个错误,是将通用漏洞评分系统 (CVSS) 的分数等同于风险值。尽管 CVSS 评分能反映出漏洞本质和漏洞武器化后的可能行为方式,但这些都是标准化的,并不能反映出上述两个决定漏洞特定风险值的变量——武器化概率和针对公司的特定潜在影响。
事实上,2014 年针对 CVSS 评分的研究就发现,“仅根据 CVSS 评分高低修复漏洞,无异于随机拣取漏洞修复。” 该研究还发现,尽管漏洞的 CVSS 评分似乎与其武器化概率并无关联,但有其他因素与之相关,包括:是否存在漏洞利用概念验证代码,深网论坛、暗网市场等非法在线社区是否提到该漏洞利用代码等。
鉴于绝大多数通用漏洞与暴露 (CVE) 从未武器化,该研究的结论具有一定实际意义。高 CVSS 评分的 CVE 只有在恶意黑客能武器化的时候才是真正的威胁。但要武器化漏洞,黑客首先得确定武器化方法,而这通常都需要概念验证 (POC) 代码。使用或开发 POC 代码的过程往往包含大量试错。若不在深/暗网和其他非法在线社区中与别的黑客交流,多数黑客一般是搞不定的。
换句话说,无论 CVSS 评分是高是低,评估漏洞时都需要将是否存在 POC 代码和相关黑客讨论作为重要风险因素加以考量。
3. 风险评估框架
出于修复排序目的的风险评估过程优化可以考虑采用评估框架。现成的风险评估框架有很多,其中一些还是特定监管机构强制要求或建议采用的,这些现成的框架都能帮助安全团队更有效地评估、排序和管理不同风险。
但无论采用哪种框架,都需要根据公司特定环境和风险因素加以实现。也就是说,你需要统计资产,评估资产被黑的潜在影响, 判断漏洞武器化概率。无论有没有应用漏洞风险评估框架,缺了上述信息都无法准确评估漏洞对公司的特定风险。
除此之外,还需谨记:虽然合规不应是安全项目的最终目标,但各个合规要求都强调风险必然是有原因的。有效管理漏洞,尤其是合理排序修复动作,只有基于风险才是可行的。
针对 CVSS 评分的研究报告原文:
https://www.researchgate.net/publication/270697273_Comparing_Vulnerability_Severity_and_Exploits_Using_Case-Control_Studies
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】