基于風(fēng)險(xiǎn)的安全管理是合規(guī)的必備
漏洞管理與合規(guī)相輔相成。正如遵循特定監(jiān)管標(biāo)準(zhǔn)有助于有效管理漏洞,有效管理漏洞也有助于規(guī)避可致違規(guī)的安全事件。
但鑒于不同監(jiān)管機(jī)構(gòu)標(biāo)準(zhǔn)不同,既有效且合規(guī)的漏洞管理對不同組織機(jī)構(gòu)而言可能意味著不同的東西。但有一個(gè)例外:風(fēng)險(xiǎn)!所有標(biāo)準(zhǔn)都強(qiáng)調(diào)了風(fēng)險(xiǎn)!具體有:
- PCI DSS 要求 6.1 聲明:公司企業(yè)必須 “設(shè)立漏洞發(fā)現(xiàn)過程,并為新發(fā)現(xiàn)的安全漏洞賦予風(fēng)險(xiǎn)評分。”
- GDPR 第 32 條要求:實(shí)現(xiàn) “恰當(dāng)?shù)募夹g(shù)性或組織性措施以確保適合風(fēng)險(xiǎn)情況的安全水平。”
- HIPAA 安全規(guī)則強(qiáng)制要求:“評估電子健康信息的機(jī)密性、完整性和可用性所面臨的潛在風(fēng)險(xiǎn)與漏洞。”
- GLBA 安全規(guī)定要求:公司企業(yè)須 “識別并評估客戶信息風(fēng)險(xiǎn),評估當(dāng)前風(fēng)險(xiǎn)控制安全措施的有效性。”
很多監(jiān)管標(biāo)準(zhǔn)都要求評估風(fēng)險(xiǎn)并以此做出恰當(dāng)響應(yīng)才能達(dá)成并維持合規(guī),以上幾條不過摘錄一二而已。在漏洞管理語境下,如 PCI DSS 要求 6.1 所述,合規(guī)就意味著基于風(fēng)險(xiǎn)給漏洞排序并修復(fù)。
但由于漏洞對各家公司意義不同,要做到按風(fēng)險(xiǎn)管理漏洞并不容易。準(zhǔn)確評估首先要確定:
- 漏洞武器化的概率有多高;
- 如果武器化,對特定公司的影響是什么。
想要確定這幾個(gè)變量,以下建議可供參考:
1. 了解資產(chǎn)情況
可能影響關(guān)鍵資產(chǎn)的漏洞絕對要優(yōu)先修復(fù)。對大多數(shù)企業(yè)而言,關(guān)鍵資產(chǎn)包括但不局限于適用于一個(gè)或多個(gè)安全合規(guī)要求的那些。比如說,受 HIPAA 管轄的公司企業(yè)就要特別關(guān)注含有個(gè)人健康信息的資產(chǎn);PCI DSS 轄下公司應(yīng)重視支付卡數(shù)據(jù);GDPR 監(jiān)管下的公司企業(yè)還要將用戶數(shù)據(jù)也納入重點(diǎn)關(guān)注對象。
識別出關(guān)鍵資產(chǎn)后,還要確定并記錄下其存儲、處理、管理和可能被破壞的方式。與這些資產(chǎn)相關(guān)聯(lián)的技術(shù)有哪些?怎么連接的?哪些用戶可以出于哪種目的訪問這些資產(chǎn)?哪些人可能會(huì)想破壞/泄露這些資產(chǎn)?為什么?這些資產(chǎn)一旦被破壞/泄露,會(huì)造成什么后果?此類問題的答案有助于識別、分類和排序可能影響這些資產(chǎn)的潛在漏洞。
2. CVSS評分不代表一切
排序修復(fù)動(dòng)作時(shí)最常犯的一個(gè)錯(cuò)誤,是將通用漏洞評分系統(tǒng) (CVSS) 的分?jǐn)?shù)等同于風(fēng)險(xiǎn)值。盡管 CVSS 評分能反映出漏洞本質(zhì)和漏洞武器化后的可能行為方式,但這些都是標(biāo)準(zhǔn)化的,并不能反映出上述兩個(gè)決定漏洞特定風(fēng)險(xiǎn)值的變量——武器化概率和針對公司的特定潛在影響。
事實(shí)上,2014 年針對 CVSS 評分的研究就發(fā)現(xiàn),“僅根據(jù) CVSS 評分高低修復(fù)漏洞,無異于隨機(jī)揀取漏洞修復(fù)。” 該研究還發(fā)現(xiàn),盡管漏洞的 CVSS 評分似乎與其武器化概率并無關(guān)聯(lián),但有其他因素與之相關(guān),包括:是否存在漏洞利用概念驗(yàn)證代碼,深網(wǎng)論壇、暗網(wǎng)市場等非法在線社區(qū)是否提到該漏洞利用代碼等。
鑒于絕大多數(shù)通用漏洞與暴露 (CVE) 從未武器化,該研究的結(jié)論具有一定實(shí)際意義。高 CVSS 評分的 CVE 只有在惡意黑客能武器化的時(shí)候才是真正的威脅。但要武器化漏洞,黑客首先得確定武器化方法,而這通常都需要概念驗(yàn)證 (POC) 代碼。使用或開發(fā) POC 代碼的過程往往包含大量試錯(cuò)。若不在深/暗網(wǎng)和其他非法在線社區(qū)中與別的黑客交流,多數(shù)黑客一般是搞不定的。
換句話說,無論 CVSS 評分是高是低,評估漏洞時(shí)都需要將是否存在 POC 代碼和相關(guān)黑客討論作為重要風(fēng)險(xiǎn)因素加以考量。
3. 風(fēng)險(xiǎn)評估框架
出于修復(fù)排序目的的風(fēng)險(xiǎn)評估過程優(yōu)化可以考慮采用評估框架。現(xiàn)成的風(fēng)險(xiǎn)評估框架有很多,其中一些還是特定監(jiān)管機(jī)構(gòu)強(qiáng)制要求或建議采用的,這些現(xiàn)成的框架都能幫助安全團(tuán)隊(duì)更有效地評估、排序和管理不同風(fēng)險(xiǎn)。
但無論采用哪種框架,都需要根據(jù)公司特定環(huán)境和風(fēng)險(xiǎn)因素加以實(shí)現(xiàn)。也就是說,你需要統(tǒng)計(jì)資產(chǎn),評估資產(chǎn)被黑的潛在影響, 判斷漏洞武器化概率。無論有沒有應(yīng)用漏洞風(fēng)險(xiǎn)評估框架,缺了上述信息都無法準(zhǔn)確評估漏洞對公司的特定風(fēng)險(xiǎn)。
除此之外,還需謹(jǐn)記:雖然合規(guī)不應(yīng)是安全項(xiàng)目的最終目標(biāo),但各個(gè)合規(guī)要求都強(qiáng)調(diào)風(fēng)險(xiǎn)必然是有原因的。有效管理漏洞,尤其是合理排序修復(fù)動(dòng)作,只有基于風(fēng)險(xiǎn)才是可行的。
針對 CVSS 評分的研究報(bào)告原文:
https://www.researchgate.net/publication/270697273_Comparing_Vulnerability_Severity_and_Exploits_Using_Case-Control_Studies
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
