在啟用漏洞管理程序后不久，企業(yè)往往會(huì)發(fā)現(xiàn)自己面臨著海量的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)。掃描這些結(jié)果可能讓企業(yè)看到分布在各種不同的系統(tǒng)和應(yīng)用中的數(shù)百甚至數(shù)千個(gè)漏洞。

安全專業(yè)人員應(yīng)該如何解決這個(gè)風(fēng)險(xiǎn)問(wèn)題?在本文中，我們將研究一種三角叉式優(yōu)先級(jí)方案，其中整合了外部關(guān)鍵性評(píng)估、數(shù)據(jù)敏感度和現(xiàn)有控制環(huán)境來(lái)幫助企業(yè)成功地對(duì)漏洞進(jìn)行評(píng)級(jí)，同時(shí)優(yōu)化整治工作。

這種三步驟過(guò)程是假定你已經(jīng)獲取了關(guān)于環(huán)境中存在的網(wǎng)絡(luò)安全漏洞的信息、由系統(tǒng)和應(yīng)用處理的信息的敏感度以及環(huán)境中現(xiàn)有安全控制的狀態(tài)。這些信息可能來(lái)自不同的漏洞管理程序，包括Web和網(wǎng)絡(luò)漏洞掃描器、數(shù)據(jù)丟失防護(hù)系統(tǒng)和配置管理軟件等。

步驟1：確定漏洞的嚴(yán)重程度

你首先需要的數(shù)據(jù)元素是評(píng)估你環(huán)境中存在的每個(gè)漏洞的嚴(yán)重程度。在很多情況下，你可以從漏洞管理工具供應(yīng)商的數(shù)據(jù)feed來(lái)獲取這種嚴(yán)重程度的信息。

這種嚴(yán)重程度評(píng)估應(yīng)該基于一個(gè)成功的漏洞利用可能造成的潛在的損害。例如，允許攻擊者獲取對(duì)系統(tǒng)的管理訪問(wèn)權(quán)限的漏洞比導(dǎo)致拒絕服務(wù)的漏洞要嚴(yán)重得多。嚴(yán)重程度信息也可能會(huì)考慮現(xiàn)實(shí)世界中存在的漏洞利用;與沒(méi)有已知漏洞利用的理論漏洞相比，惡意軟件使用的漏洞更嚴(yán)重。

對(duì)于我們模型的目的，我們將假設(shè)你在使用具有5級(jí)漏洞評(píng)級(jí)系統(tǒng)的產(chǎn)品，其中，具有最高破壞性的漏洞被評(píng)為5級(jí)。

步驟2：確定數(shù)據(jù)的敏感度

漏洞帶來(lái)的風(fēng)險(xiǎn)會(huì)因?yàn)榘撀┒吹南到y(tǒng)上的信息的敏感程度而加倍。例如，與僅包含公開(kāi)信息的系統(tǒng)相比，包含社會(huì)安全號(hào)碼或者信用卡數(shù)據(jù)的系統(tǒng)應(yīng)該得到更多的關(guān)注和更多保護(hù)。

然而，這并不意味著，企業(yè)只需要管理好包含敏感信息的系統(tǒng)，因?yàn)槿绻嫦蚬姷木W(wǎng)站受到攻擊，你的企業(yè)將會(huì)遭受與敏感信息泄漏相同的聲譽(yù)損失。不過(guò)，敏感信息的存在確實(shí)放大了攻擊的影響力。

收集有關(guān)數(shù)據(jù)敏感度的信息可能會(huì)非常棘手，這取決于你的信息分類機(jī)制的成熟度。如果你才剛剛起步，你最好使用相對(duì)簡(jiǎn)單的模型，根據(jù)數(shù)據(jù)的敏感度將數(shù)據(jù)分類：

高敏感度信息即受到嚴(yán)格監(jiān)管的信息，或者如果泄漏將對(duì)企業(yè)帶來(lái)嚴(yán)重破壞的數(shù)據(jù)。我們信息安全機(jī)制的“御寶”包含這些數(shù)據(jù)元素：信用卡數(shù)據(jù)、受保護(hù)的醫(yī)療信息和銀行賬戶詳細(xì)信息。

內(nèi)部信息是指不符合“高度敏感”類別但也不應(yīng)該被公開(kāi)發(fā)布的信息。此類別可能看起來(lái)過(guò)于寬泛，它也是最難定義的類別。如果你沒(méi)有數(shù)據(jù)分類機(jī)制，將所有這些數(shù)據(jù)歸為一類是最合適的開(kāi)始方式。如果企業(yè)需要分類，可以考慮以后再細(xì)分類別。

公開(kāi)信息是指你的企業(yè)愿意透露給公眾的信息，例如產(chǎn)品文獻(xiàn)、你的公共網(wǎng)站上的數(shù)據(jù)以及發(fā)布的財(cái)務(wù)報(bào)表。

當(dāng)對(duì)系統(tǒng)進(jìn)行數(shù)據(jù)敏感度評(píng)級(jí)時(shí)，你的評(píng)估應(yīng)該基于系統(tǒng)存儲(chǔ)或處理的信息的最高敏感度水平。處理高敏感度信息的系統(tǒng)被評(píng)為5級(jí)，而處理內(nèi)部信息的系統(tǒng)可能被評(píng)為2級(jí)、3級(jí)或3級(jí)，這取決于敏感度水平。所有其他系統(tǒng)都被評(píng)為1級(jí)。

步驟3：評(píng)估現(xiàn)有控制

這個(gè)過(guò)程的最后一步是評(píng)估現(xiàn)有控制—這些控制保護(hù)潛在易受攻擊的系統(tǒng)免受攻擊。根據(jù)你企業(yè)需要的具體控制的不同，你用來(lái)進(jìn)行評(píng)級(jí)的方法也會(huì)有所不同。例如，如果你有一個(gè)高度安全的網(wǎng)絡(luò)用于極度敏感的系統(tǒng)，對(duì)于5級(jí)控制評(píng)級(jí)標(biāo)準(zhǔn)，你可能會(huì)將這些系統(tǒng)評(píng)為5級(jí)。同樣地，如果使用公共IP地址的系統(tǒng)可以通過(guò)互聯(lián)網(wǎng)從web應(yīng)用訪問(wèn)，而沒(méi)有受到web應(yīng)用防火墻保護(hù)，這種系統(tǒng)可能被評(píng)為1級(jí)或者2級(jí)。你應(yīng)該選擇能夠準(zhǔn)確反映你的環(huán)境中預(yù)期控制的評(píng)級(jí)標(biāo)準(zhǔn)，然后對(duì)具有強(qiáng)大安全控制的系統(tǒng)評(píng)為較高等級(jí)。

整合這些數(shù)據(jù)

在收集了所有這些信息后，你可以利用它們來(lái)評(píng)估你的報(bào)告中出現(xiàn)的漏洞。而且，在你將所有這些數(shù)據(jù)收集在一起后，你可以對(duì)系統(tǒng)中存在的每個(gè)漏洞執(zhí)行下面這個(gè)簡(jiǎn)單的計(jì)算：

風(fēng)險(xiǎn)數(shù)=(漏洞嚴(yán)重程度*數(shù)據(jù)敏感度)/現(xiàn)有控制

如果每個(gè)選項(xiàng)都是5分制，這個(gè)漏洞評(píng)級(jí)范圍將是從最低0.2分(在僅包含公共信息的良好控制的系統(tǒng)中存在的的嚴(yán)重性漏洞)到最高25分(包含高敏感度信息而缺乏安全控制的系統(tǒng)中存在高嚴(yán)重性漏洞)。

雖然這看起來(lái)需要收集大量數(shù)據(jù)以及執(zhí)行大量計(jì)算，你可以找到方法來(lái)自動(dòng)化這個(gè)過(guò)程并改進(jìn)你的漏洞優(yōu)先級(jí)工作。例如，你可以創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)關(guān)于所有服務(wù)器資產(chǎn)的數(shù)據(jù)敏感度和控制狀態(tài)信息。

同樣地，你可以利用腳本來(lái)分析供應(yīng)商報(bào)告，以自動(dòng)化提取漏洞嚴(yán)重度信息，從數(shù)據(jù)庫(kù)中提取相關(guān)信息并計(jì)算風(fēng)險(xiǎn)分?jǐn)?shù)。

我們有很多方法來(lái)為企業(yè)定制網(wǎng)絡(luò)安全漏洞優(yōu)先級(jí)系統(tǒng)。無(wú)論你做出怎樣的調(diào)整，對(duì)于任何想要降低IT安全風(fēng)險(xiǎn)的企業(yè)而言，基于風(fēng)險(xiǎn)優(yōu)先級(jí)決策的有效的漏洞管理程序都是一個(gè)必須因素。簡(jiǎn)化用來(lái)執(zhí)行漏洞風(fēng)險(xiǎn)分析的程序，讓企業(yè)更容易開(kāi)始和維護(hù)這樣一個(gè)程序。