九九九中文无码A∨|亚洲国产成人最新精品|国产AV无码精品色午夜|国产精品久久久久三级无码|日韩欧美一区国产二区在线|欧美另类精品一区二区三区|精品一区二区三区毛片视频网|中文字幕日韩精品一区二区三区

中國企業(yè)報(bào)集團(tuán)主管主辦

中國企業(yè)信息交流平臺(tái)

微博 微信

您還在苦惱先修哪個(gè)漏洞嗎?

2024-05-31 15:00 來源:商丘網(wǎng) 次閱讀
 
您還在苦惱先修哪個(gè)漏洞嗎?

  在當(dāng)今數(shù)字時(shí)代,網(wǎng)絡(luò)攻擊不斷演變,漏洞修復(fù)已成為企業(yè)安全的重中之重。然而,隨著漏洞數(shù)量的激增,如何有效處理和優(yōu)先修復(fù)漏洞成為了一個(gè)挑戰(zhàn)。根據(jù)綠盟科技發(fā)布的《2023年度安全事件觀察報(bào)告》顯示,全球共披露了30947個(gè)漏洞,每天平均有84.78個(gè)CVE被披露,創(chuàng)下歷史新高。更令人擔(dān)憂的是,超過7000個(gè)漏洞具有“PoC代碼”,206個(gè)具有可用的武器化利用代碼,115個(gè)已被黑客廣泛利用。

  Mandiant在RSAC主題演講中透露,32%的違規(guī)行為是由于漏洞利用導(dǎo)致的,這占據(jù)了追蹤到的所有違規(guī)行為中的最高比例。至2024年5月,負(fù)責(zé)維護(hù)NVD漏洞庫的NIST被曝出存在大量漏洞積壓,至少9762個(gè)CVE未被分析,僅5月就收到了2000個(gè)新的CVE。面對(duì)這種爆發(fā)式增長,安全團(tuán)隊(duì)的漏洞管理亟需調(diào)整和優(yōu)化。

1.png
漏洞數(shù)量近幾年逐年增長

  除了公開漏洞數(shù)量的逐年增加,發(fā)現(xiàn)漏洞的手段也不斷增多,除了傳統(tǒng)的漏洞掃描還引入紅藍(lán)對(duì)抗、眾測(cè)和威脅情報(bào)等方法。CISA的統(tǒng)計(jì)稱大概只有不到4%的漏洞被真正利用,大量的漏洞可能就只是一個(gè)編號(hào)。安全和業(yè)務(wù)團(tuán)隊(duì)面對(duì)海量資產(chǎn)中的大量漏洞,如何從百萬漏洞中挑選出可利用的漏洞成為了業(yè)界的一個(gè)難題。為了解決這個(gè)問題,Gartner于2021年首次提出了漏洞優(yōu)先級(jí)技術(shù)(Vulnerability Prioritization Technology,簡稱VPT)。在Gartner的評(píng)價(jià)中,VPT被認(rèn)為是十大安全項(xiàng)目之一,被廣泛應(yīng)用于漏洞評(píng)估市場指南和安全運(yùn)營技術(shù)成熟度模型,因其重要性備受關(guān)注。

2.png
2021年Gartner安全運(yùn)營成熟度曲線[3]

  綠盟科技漏洞優(yōu)先級(jí)實(shí)踐

  高效應(yīng)對(duì)新漏洞爆發(fā)

  情報(bào)錄入:當(dāng)新漏洞爆發(fā)時(shí),綠盟VPT支持將相關(guān)情報(bào)錄入系統(tǒng)中,包括漏洞的詳細(xì)描述、CVE編號(hào)、危害等級(jí)以及可能受影響的產(chǎn)品或系統(tǒng)信息等。

  動(dòng)態(tài)更新:VPT會(huì)根據(jù)新漏洞的嚴(yán)重性、影響范圍、易受攻擊程度和修復(fù)方案等因素,動(dòng)態(tài)更新漏洞的排名,該排名將反映漏洞對(duì)企業(yè)系統(tǒng)和數(shù)據(jù)的風(fēng)險(xiǎn)程度,用戶可以根據(jù)分?jǐn)?shù)來確定優(yōu)先處理的漏洞并采取相應(yīng)的修復(fù)措施。

  例如,當(dāng)新漏洞爆發(fā)且在野利用并且資產(chǎn)暴露在互聯(lián)網(wǎng)上但沒有修復(fù)方案時(shí),該漏洞優(yōu)先級(jí)較高,需要采取臨時(shí)防護(hù)措施,如白名單訪問。如果新漏洞的POC未公開且資產(chǎn)僅部署在內(nèi)網(wǎng),那么該漏洞的優(yōu)先級(jí)相對(duì)互聯(lián)網(wǎng)高危漏洞較低。平臺(tái)支持用戶動(dòng)態(tài)更新漏洞情報(bào)和標(biāo)簽。

  資產(chǎn)因子優(yōu)化優(yōu)先級(jí)

  資產(chǎn)位置:VPT將資產(chǎn)在網(wǎng)絡(luò)分區(qū)中的位置作為資產(chǎn)因子考慮進(jìn)去,例如資產(chǎn)在內(nèi)網(wǎng)或互聯(lián)網(wǎng),這有助于確定資產(chǎn)所在環(huán)境的安全風(fēng)險(xiǎn)和受攻擊的可能性。

  資產(chǎn)重要性:VPT會(huì)考慮資產(chǎn)的重要性因素,如資產(chǎn)存儲(chǔ)的敏感數(shù)據(jù)、關(guān)鍵業(yè)務(wù)系統(tǒng)等。對(duì)于承載關(guān)鍵業(yè)務(wù)的資產(chǎn),其相關(guān)漏洞可能被視為優(yōu)先級(jí)更高,而需要更緊急的修復(fù)。

  優(yōu)先級(jí)判定:基于區(qū)域和資產(chǎn)重要性的因素,VPT會(huì)根據(jù)漏洞的嚴(yán)重性和受影響資產(chǎn)的關(guān)鍵程度來確定優(yōu)先級(jí)。

  例如,在互聯(lián)網(wǎng)上暴露的Struts2命令執(zhí)行漏洞相比內(nèi)網(wǎng)同一漏洞可能會(huì)被視為優(yōu)先級(jí)更高,因?yàn)樗赡苊媾R來自廣泛的網(wǎng)絡(luò)攻擊,內(nèi)網(wǎng)攻擊則需要攻擊者先獲得邊界權(quán)限。

  根據(jù)經(jīng)驗(yàn)進(jìn)行主動(dòng)調(diào)整

  漏洞調(diào)優(yōu):當(dāng)某些漏洞被確認(rèn)為低風(fēng)險(xiǎn)漏洞且未公布POC時(shí),用戶可以采取主動(dòng)調(diào)整的措施。通過VPT的界面設(shè)置,用戶可以修改漏洞的相關(guān)因子(如影響范圍、易受攻擊程度等)或直接分配給該漏洞的分?jǐn)?shù)。

  動(dòng)態(tài)更新:一旦用戶對(duì)漏洞的因子或分?jǐn)?shù)進(jìn)行了調(diào)整,VPT會(huì)在后續(xù)的計(jì)算中動(dòng)態(tài)考慮這些用戶調(diào)整,并根據(jù)新的因子和分?jǐn)?shù)重新計(jì)算每個(gè)漏洞的優(yōu)先級(jí)和風(fēng)險(xiǎn)等級(jí)。這樣,系統(tǒng)能夠根據(jù)用戶的實(shí)際需求和風(fēng)險(xiǎn)評(píng)估靈活地調(diào)整漏洞的優(yōu)先級(jí)。

  重置還原:如果用戶決定還原之前的漏洞設(shè)置,VPT支持用戶進(jìn)行重置操作。用戶可以將漏洞的因子或分?jǐn)?shù)恢復(fù)到默認(rèn)狀態(tài),使VPT重新根據(jù)預(yù)設(shè)標(biāo)準(zhǔn)進(jìn)行計(jì)算和排名。

  例如用戶針對(duì)某些版本掃描漏洞(未公布POC且部署內(nèi)網(wǎng)),由于業(yè)務(wù)系統(tǒng)重要無法輕易升級(jí)則可以調(diào)整因子或分?jǐn)?shù)降低優(yōu)先級(jí),后續(xù)系統(tǒng)計(jì)算分?jǐn)?shù)時(shí)也會(huì)考慮用戶的調(diào)整。

  內(nèi)置豐富的場景模板

  用戶可依據(jù)場景進(jìn)行模板選擇,內(nèi)置攻防演練、監(jiān)管檢查和日常運(yùn)行等幾大場景,不同場景漏洞類型和因子權(quán)重會(huì)有所變化,用戶可自定義場景。

  攻防演練場景模板:這個(gè)模板適用于進(jìn)行攻防演練活動(dòng)。在這個(gè)場景下,VPT會(huì)根據(jù)攻防演練的目標(biāo)和規(guī)則,在漏洞類型和因子權(quán)重上進(jìn)行特定的調(diào)整。例如,可能更關(guān)注命令執(zhí)行、注入類漏洞等與攻防演練相關(guān)的漏洞,內(nèi)網(wǎng)的高危漏洞優(yōu)先級(jí)高于互聯(lián)網(wǎng)中危漏洞。

  監(jiān)管檢查場景模板:該模板適用于監(jiān)管機(jī)構(gòu)或組織進(jìn)行安全合規(guī)性檢查。在這個(gè)場景下,VPT將基于監(jiān)管要求的漏洞分類和權(quán)重進(jìn)行設(shè)置,以確保滿足相關(guān)監(jiān)管標(biāo)準(zhǔn)。例如,可能更關(guān)注個(gè)人信息泄露漏洞、安全配置漏洞等與合規(guī)性要求相關(guān)的漏洞。

  日常運(yùn)行場景模板:這個(gè)模板適用于平時(shí)的日常漏洞管理和運(yùn)維工作。在這個(gè)場景下,VPT會(huì)考慮常見的漏洞類型和因子權(quán)重,以幫助用戶優(yōu)化和管理日常運(yùn)行環(huán)境中的漏洞。用戶可以通過自定義設(shè)置來進(jìn)一步調(diào)整和適應(yīng)自己的實(shí)際需求。

  綠盟科技漏洞優(yōu)先級(jí)介紹

  綠盟科技作為一家以漏洞掃描起家的信息安全公司,在VPT方面積累了豐富的經(jīng)驗(yàn)。綠盟科技漏洞領(lǐng)域研究團(tuán)隊(duì)在融合CVSS4.0理念的基礎(chǔ)上自定義模型因子,能夠從資產(chǎn)和漏洞兩個(gè)維度去評(píng)價(jià)漏洞的優(yōu)先級(jí),將多種來源的數(shù)據(jù)與威脅情報(bào)、資產(chǎn)重要性、網(wǎng)絡(luò)區(qū)域、漏洞忽略比等信息相結(jié)合,并通過大數(shù)據(jù)算法進(jìn)行分析,利用機(jī)器學(xué)習(xí)預(yù)測(cè)漏洞遭攻擊者利用的可能性。實(shí)實(shí)在在幫助企業(yè)對(duì)修補(bǔ)工作進(jìn)行優(yōu)先級(jí)分析,了解需要優(yōu)先修復(fù)哪些漏洞。將有限的資源集中在對(duì)業(yè)務(wù)可能造成重大影響的漏洞處置上,最大程度快速減少業(yè)務(wù)風(fēng)險(xiǎn)。

  同時(shí)為了滿足不同用戶的風(fēng)險(xiǎn)側(cè)重點(diǎn),提供靈活的優(yōu)先級(jí)計(jì)算模型,支持各維度因子靈活調(diào)整,包括因子的啟用、禁用、因子權(quán)重占比等。通過提供動(dòng)態(tài)評(píng)估優(yōu)先級(jí)模型,可靈活配置各維度因子權(quán)重,綜合考慮漏洞的可利用性、資產(chǎn)或業(yè)務(wù)的關(guān)鍵性、漏洞的嚴(yán)重性和現(xiàn)有的補(bǔ)償控制措施等方面,動(dòng)態(tài)輸出漏洞排定優(yōu)先級(jí)評(píng)分。

33.png
綠盟科技漏洞和資產(chǎn)維度的因子

  VPT應(yīng)用效果對(duì)比

  在引入VPT前,用戶只能從漏洞自身的CVSS分?jǐn)?shù)和不同廠商的最佳實(shí)踐去評(píng)價(jià)漏洞的修復(fù)優(yōu)先級(jí),并沒有考慮漏洞的實(shí)際利用情況和資產(chǎn)的位置等因素,具體效果如下 :

4.png

VPT應(yīng)用前

  引入VPT后,我們可以從風(fēng)險(xiǎn)的視角去看漏洞,考慮漏洞所在系統(tǒng)的重要性和位置,漏洞本身的可利用性等等,讓漏洞不再僅僅是一個(gè)CVSS分?jǐn)?shù)高的CVE編號(hào)而是互聯(lián)網(wǎng)側(cè)的漏洞及武器化的漏洞優(yōu)先級(jí)更高,具體效果如下:

5.png
VPT應(yīng)用后

  通過圖中數(shù)據(jù)可以看出:

  互聯(lián)網(wǎng)側(cè)的漏洞,武器化或公開POC的優(yōu)先級(jí)更高

  漏洞的自身分?jǐn)?shù)9.8分,但是因?yàn)樵趦?nèi)網(wǎng)且沒有任何公開的POC信息,最開始CVSS分?jǐn)?shù)優(yōu)先級(jí)為第四名,VPT應(yīng)用后,該漏洞優(yōu)先級(jí)為最后一名

  VPT技術(shù)可以讓安全和運(yùn)維團(tuán)隊(duì)聚焦于危害更大的漏洞,最大程度保證業(yè)務(wù)安全

6.png
VPT效果對(duì)比

  為了實(shí)現(xiàn)漏洞優(yōu)先級(jí)技術(shù)(VPT)的理想效果,用戶的深度參與至關(guān)重要。用戶需要定義資產(chǎn)因子的輸出,并持續(xù)運(yùn)營VPT系統(tǒng)。這包括定期更新情報(bào)和自定義漏洞分?jǐn)?shù)等。只有通過用戶的積極參與和持續(xù)運(yùn)營,才能構(gòu)建一個(gè)更適合企業(yè)需求的VPT模型,并將其有效地應(yīng)用于實(shí)際業(yè)務(wù)中。

點(diǎn)贊()
上一條:中國拳道·神意拳第四代第二期記名學(xué)生認(rèn)師儀式在北京舉行2024-05-31
下一條:百萬爆品頻出,「抖in禮遇季·滿分寵愛」抓住禮贈(zèng)背后的商業(yè)機(jī)會(huì)2024-05-31

相關(guān)稿件

堵住商品房預(yù)售資金監(jiān)管漏洞 2022-07-27
常修澤:推進(jìn)創(chuàng)新驅(qū)動(dòng)發(fā)展戰(zhàn)略 2024-03-19
你知道醋的發(fā)展史嗎? 2021-11-19
中國宏觀經(jīng)濟(jì)研究院教授常修澤:打造中國縣域“要素聚寶盆”的十條建議 2023-07-20
“植物人”蘇醒后能吃飯能說話能走路嗎?電視劇里演的都是真的嗎? 2024-03-21
國務(wù)院國有資產(chǎn)管理委員會(huì) 中國企業(yè)聯(lián)合會(huì) 中國企業(yè)報(bào) 中國社會(huì)經(jīng)濟(jì)網(wǎng) 中國國際電子商務(wù)網(wǎng) 新浪財(cái)經(jīng) 鳳凰財(cái)經(jīng) 中國報(bào)告基地 企業(yè)社會(huì)責(zé)任中國網(wǎng) 杭州網(wǎng) 中國產(chǎn)經(jīng)新聞網(wǎng) 環(huán)球企業(yè)家 華北新聞網(wǎng) 和諧中國網(wǎng) 天機(jī)網(wǎng) 中貿(mào)網(wǎng) 湖南經(jīng)濟(jì)新聞網(wǎng) 翼牛網(wǎng) 東莞二手房 中國經(jīng)濟(jì)網(wǎng) 中國企業(yè)網(wǎng)黃金展位頻道 硅谷網(wǎng) 東方經(jīng)濟(jì)網(wǎng) 華訊財(cái)經(jīng) 網(wǎng)站目錄 全景網(wǎng) 中南網(wǎng) 美通社 大佳網(wǎng) 火爆網(wǎng) 跨考研招網(wǎng) 當(dāng)代金融家雜志 借貸撮合網(wǎng) 大公財(cái)經(jīng) 誠搜網(wǎng) 中國鋼鐵現(xiàn)貨網(wǎng) 證券之星 融易在線 2014世界杯 中華魂網(wǎng) 納稅人俱樂部 慧業(yè)網(wǎng) 商界網(wǎng) 品牌家 中國國資報(bào)道 金融界 中國農(nóng)業(yè)新聞網(wǎng) 中國招商聯(lián)盟 和訊股票 經(jīng)濟(jì)網(wǎng) 中國數(shù)據(jù)分析行業(yè)網(wǎng) 中國報(bào)道網(wǎng) 九州新聞網(wǎng) 投資界 北京科技創(chuàng)新企業(yè)誠信聯(lián)盟網(wǎng) 中國白銀網(wǎng) 炣燃科技 中企媒資網(wǎng) 中國石油化工集團(tuán) 中國保利集團(tuán)公司 東風(fēng)汽車公司 中國化工集團(tuán)公司 中國電信集團(tuán)公司 華為技術(shù)有限公司 廈門銀鷺食品有限公司 中國恒天集團(tuán)有限公司 濱州東方地毯集團(tuán)有限公司 大唐電信科技股份有限公司 中國誠通控股集團(tuán)有限公司 喜來健醫(yī)療器械有限公司 中國能源建設(shè)股份有限公司 內(nèi)蒙古伊利實(shí)業(yè)集團(tuán)股份有限公司 中國移動(dòng)通信集團(tuán)公司 中國化工集團(tuán)公司 貴州茅臺(tái)酒股份有限公司