如何對系統中的網路安全漏洞進行評級？

在啟用漏洞管理程式後不久，企業往往會發現自己面臨著海量的網路安全漏洞資料。掃瞄這些結果可能讓企業看到分布在各種不同的系統和應用中的數百甚至數千個漏洞。

安全專業人員應該如何解決這個風險問題？在本文中，我們將研究一種三角叉式優先順序方案，其中整合了外部關鍵性評估、資料敏感度和現有控制環境來幫助企業成功地對漏洞進行評級，同時優化整治工作。

這種三步驟過程是假定你已經獲取了關於環境中存在的網路安全漏洞的資訊、由系統和應用處理的資訊的敏感度以及環境中現有安全控制的狀態。這些資訊可能來自不同的漏洞管理程式，包括web和網路漏洞掃瞄器、資料丟失防護系統和配置管理軟體等。

步驟1：確定漏洞的嚴重程度

你首先需要的資料元素是評估你環境中存在的每個漏洞的嚴重程度。在很多情況下，你可以從漏洞管理工具**商的資料feed來獲取這種嚴重程度的資訊。

這種嚴重程度評估應該基於乙個成功的漏洞利用可能造成的潛在的損害。例如，允許攻擊者獲取對系統的管理訪問許可權的漏洞比導致拒絕服務的漏洞要嚴重得多。嚴重程度資訊也可能會考慮現實世界中存在的漏洞利用；與沒有已知漏洞利用的理論漏洞相比，惡意軟體使用的漏洞更嚴重。

對於我們模型的目的，我們將假設你在使用具有5級漏洞評級系統的產品，其中，具有最高破壞性的漏洞被評為5級。

步驟2：確定資料的敏感度

漏洞帶來的風險會因為包含該漏洞的系統上的資訊的敏感程度而加倍。例如，與僅包含公開資訊的系統相比，包含社會安全號碼或者信用卡資料的系統應該得到更多的關注和更多保護。

然而，這並不意味著，企業只需要管理好包含敏感資訊的系統，因為如果面向公眾的**受到攻擊，你的企業將會遭受與敏感資訊洩漏相同的聲譽損失。不過，敏感資訊的存在確實放大了攻擊的影響力。

收集有關資料敏感度的資訊可能會非常棘手，這取決於你的資訊分類機制的成熟度。如果你才剛剛起步，你最好使用相對簡單的模型，根據資料的敏感度將資料分類：

當對系統進行資料敏感度評級時，你的評估應該基於系統儲存或處理的資訊的最高敏感度水平。處理高敏感度資訊的系統被評為5級，而處理內部資訊的系統可能被評為2級、3級或3級，這取決於敏感度水平。所有其他系統都被評為1級。

步驟3：評估現有控制

這個過程的最後一步是評估現有控制—這些控制保護潛在易受攻擊的系統免受攻擊。根據你企業需要的具體控制的不同，你用來進行評級的方法也會有所不同。例如，如果你有乙個高度安全的網路用於極度敏感的系統，對於5級控制評級標準，你可能會將這些系統評為5級。同樣地，如果使用公共ip位址的系統可以通過網際網路從web應用訪問，而沒有受到web應用防火牆保護，這種系統可能被評為1級或者2級。你應該選擇能夠準確反映你的環境中預期控制的評級標準，然後對具有強大安全控制的系統評為較高等級。

整合這些資料

在收集了所有這些資訊後，你可以利用它們來評估你的報告**現的漏洞。而且，在你將所有這些資料收集在一起後，你可以對系統中存在的每個漏洞執行下面這個簡單的計算：

風險數=（漏洞嚴重程度*資料敏感度）/現有控制

如果每個選項都是5分制，這個漏洞評級範圍將是從最低0.2分（在僅包含公共資訊的良好控制的系統中存在的的嚴重性漏洞）到最高25分（包含高敏感度資訊而缺乏安全控制的系統中存在高嚴重性漏洞）。

雖然這看起來需要收集大量資料以及執行大量計算，你可以找到方法來自動化這個過程並改進你的漏洞優先順序工作。例如，你可以建立乙個資料庫來儲存關於所有伺服器資產的資料敏感度和控制狀態資訊。

同樣地，你可以利用指令碼來分析**商報告，以自動化提取漏洞嚴重度資訊，從資料庫中提取相關資訊並計算風險分數。

我們有很多方法來為企業定製網路安全漏洞優先順序系統。無論你做出怎樣的調整，對於任何想要降低it安全風險的企業而言，基於風險優先順序決策的有效的漏洞管理程式都是乙個必須因素。簡化用來執行漏洞風險分析的程式，讓企業更容易開始和維護這樣乙個程式

如何對系統中的網路安全漏洞進行評級？

看《網路安全漏洞的罪與罰》有感

Linux安全漏洞如何進行修復？

SDN一定會帶來網路安全漏洞？

如何對系統中的網路安全漏洞進行評級？

看《網路安全漏洞的罪與罰》有感

Linux安全漏洞如何進行修復？

SDN一定會帶來網路安全漏洞？

相關推薦