基于風險的安全管理是合規的必備
漏洞管理與合規相輔相成。正如遵循特定監管標準有助于有效管理漏洞,有效管理漏洞也有助于規避可致違規的安全事件。
但鑒于不同監管機構標準不同,既有效且合規的漏洞管理對不同組織機構而言可能意味著不同的東西。但有一個例外:風險!所有標準都強調了風險!具體有:
- PCI DSS 要求 6.1 聲明:公司企業必須 “設立漏洞發現過程,并為新發現的安全漏洞賦予風險評分。”
- GDPR 第 32 條要求:實現 “恰當的技術性或組織性措施以確保適合風險情況的安全水平。”
- HIPAA 安全規則強制要求:“評估電子健康信息的機密性、完整性和可用性所面臨的潛在風險與漏洞。”
- GLBA 安全規定要求:公司企業須 “識別并評估客戶信息風險,評估當前風險控制安全措施的有效性。”
很多監管標準都要求評估風險并以此做出恰當響應才能達成并維持合規,以上幾條不過摘錄一二而已。在漏洞管理語境下,如 PCI DSS 要求 6.1 所述,合規就意味著基于風險給漏洞排序并修復。
但由于漏洞對各家公司意義不同,要做到按風險管理漏洞并不容易。準確評估首先要確定:
- 漏洞武器化的概率有多高;
- 如果武器化,對特定公司的影響是什么。
想要確定這幾個變量,以下建議可供參考:
1. 了解資產情況
可能影響關鍵資產的漏洞絕對要優先修復。對大多數企業而言,關鍵資產包括但不局限于適用于一個或多個安全合規要求的那些。比如說,受 HIPAA 管轄的公司企業就要特別關注含有個人健康信息的資產;PCI DSS 轄下公司應重視支付卡數據;GDPR 監管下的公司企業還要將用戶數據也納入重點關注對象。
識別出關鍵資產后,還要確定并記錄下其存儲、處理、管理和可能被破壞的方式。與這些資產相關聯的技術有哪些?怎么連接的?哪些用戶可以出于哪種目的訪問這些資產?哪些人可能會想破壞/泄露這些資產?為什么?這些資產一旦被破壞/泄露,會造成什么后果?此類問題的答案有助于識別、分類和排序可能影響這些資產的潛在漏洞。
2. CVSS評分不代表一切
排序修復動作時最常犯的一個錯誤,是將通用漏洞評分系統 (CVSS) 的分數等同于風險值。盡管 CVSS 評分能反映出漏洞本質和漏洞武器化后的可能行為方式,但這些都是標準化的,并不能反映出上述兩個決定漏洞特定風險值的變量——武器化概率和針對公司的特定潛在影響。
事實上,2014 年針對 CVSS 評分的研究就發現,“僅根據 CVSS 評分高低修復漏洞,無異于隨機揀取漏洞修復。” 該研究還發現,盡管漏洞的 CVSS 評分似乎與其武器化概率并無關聯,但有其他因素與之相關,包括:是否存在漏洞利用概念驗證代碼,深網論壇、暗網市場等非法在線社區是否提到該漏洞利用代碼等。
鑒于絕大多數通用漏洞與暴露 (CVE) 從未武器化,該研究的結論具有一定實際意義。高 CVSS 評分的 CVE 只有在惡意黑客能武器化的時候才是真正的威脅。但要武器化漏洞,黑客首先得確定武器化方法,而這通常都需要概念驗證 (POC) 代碼。使用或開發 POC 代碼的過程往往包含大量試錯。若不在深/暗網和其他非法在線社區中與別的黑客交流,多數黑客一般是搞不定的。
換句話說,無論 CVSS 評分是高是低,評估漏洞時都需要將是否存在 POC 代碼和相關黑客討論作為重要風險因素加以考量。
3. 風險評估框架
出于修復排序目的的風險評估過程優化可以考慮采用評估框架。現成的風險評估框架有很多,其中一些還是特定監管機構強制要求或建議采用的,這些現成的框架都能幫助安全團隊更有效地評估、排序和管理不同風險。
但無論采用哪種框架,都需要根據公司特定環境和風險因素加以實現。也就是說,你需要統計資產,評估資產被黑的潛在影響, 判斷漏洞武器化概率。無論有沒有應用漏洞風險評估框架,缺了上述信息都無法準確評估漏洞對公司的特定風險。
除此之外,還需謹記:雖然合規不應是安全項目的最終目標,但各個合規要求都強調風險必然是有原因的。有效管理漏洞,尤其是合理排序修復動作,只有基于風險才是可行的。
針對 CVSS 評分的研究報告原文:
https://www.researchgate.net/publication/270697273_Comparing_Vulnerability_Severity_and_Exploits_Using_Case-Control_Studies
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
