漏洞管理與合規(guī)相輔相成。正如遵循特定監(jiān)管標(biāo)準(zhǔn)有助于有效管理漏洞，有效管理漏洞也有助于規(guī)避可致違規(guī)的安全事件。

[[270086]]

但鑒于不同監(jiān)管機(jī)構(gòu)標(biāo)準(zhǔn)不同，既有效且合規(guī)的漏洞管理對(duì)不同組織機(jī)構(gòu)而言可能意味著不同的東西。但有一個(gè)例外：風(fēng)險(xiǎn)!所有標(biāo)準(zhǔn)都強(qiáng)調(diào)了風(fēng)險(xiǎn)!具體有：

• PCI DSS 要求 6.1 聲明：公司企業(yè)必須 “設(shè)立漏洞發(fā)現(xiàn)過(guò)程，并為新發(fā)現(xiàn)的安全漏洞賦予風(fēng)險(xiǎn)評(píng)分。”
• GDPR 第 32 條要求：實(shí)現(xiàn) “恰當(dāng)?shù)募夹g(shù)性或組織性措施以確保適合風(fēng)險(xiǎn)情況的安全水平。”
• HIPAA 安全規(guī)則強(qiáng)制要求：“評(píng)估電子健康信息的機(jī)密性、完整性和可用性所面臨的潛在風(fēng)險(xiǎn)與漏洞。”
• GLBA 安全規(guī)定要求：公司企業(yè)須 “識(shí)別并評(píng)估客戶(hù)信息風(fēng)險(xiǎn)，評(píng)估當(dāng)前風(fēng)險(xiǎn)控制安全措施的有效性。”

很多監(jiān)管標(biāo)準(zhǔn)都要求評(píng)估風(fēng)險(xiǎn)并以此做出恰當(dāng)響應(yīng)才能達(dá)成并維持合規(guī)，以上幾條不過(guò)摘錄一二而已。在漏洞管理語(yǔ)境下，如 PCI DSS 要求 6.1 所述，合規(guī)就意味著基于風(fēng)險(xiǎn)給漏洞排序并修復(fù)。

但由于漏洞對(duì)各家公司意義不同，要做到按風(fēng)險(xiǎn)管理漏洞并不容易。準(zhǔn)確評(píng)估首先要確定：

• 漏洞武器化的概率有多高;
• 如果武器化，對(duì)特定公司的影響是什么。

想要確定這幾個(gè)變量，以下建議可供參考：

1. 了解資產(chǎn)情況

可能影響關(guān)鍵資產(chǎn)的漏洞絕對(duì)要優(yōu)先修復(fù)。對(duì)大多數(shù)企業(yè)而言，關(guān)鍵資產(chǎn)包括但不局限于適用于一個(gè)或多個(gè)安全合規(guī)要求的那些。比如說(shuō)，受 HIPAA 管轄的公司企業(yè)就要特別關(guān)注含有個(gè)人健康信息的資產(chǎn);PCI DSS 轄下公司應(yīng)重視支付卡數(shù)據(jù);GDPR 監(jiān)管下的公司企業(yè)還要將用戶(hù)數(shù)據(jù)也納入重點(diǎn)關(guān)注對(duì)象。

識(shí)別出關(guān)鍵資產(chǎn)后，還要確定并記錄下其存儲(chǔ)、處理、管理和可能被破壞的方式。與這些資產(chǎn)相關(guān)聯(lián)的技術(shù)有哪些?怎么連接的?哪些用戶(hù)可以出于哪種目的訪問(wèn)這些資產(chǎn)?哪些人可能會(huì)想破壞/泄露這些資產(chǎn)?為什么?這些資產(chǎn)一旦被破壞/泄露，會(huì)造成什么后果?此類(lèi)問(wèn)題的答案有助于識(shí)別、分類(lèi)和排序可能影響這些資產(chǎn)的潛在漏洞。

2. CVSS評(píng)分不代表一切

排序修復(fù)動(dòng)作時(shí)最常犯的一個(gè)錯(cuò)誤，是將通用漏洞評(píng)分系統(tǒng) (CVSS) 的分?jǐn)?shù)等同于風(fēng)險(xiǎn)值。盡管 CVSS 評(píng)分能反映出漏洞本質(zhì)和漏洞武器化后的可能行為方式，但這些都是標(biāo)準(zhǔn)化的，并不能反映出上述兩個(gè)決定漏洞特定風(fēng)險(xiǎn)值的變量——武器化概率和針對(duì)公司的特定潛在影響。

事實(shí)上，2014 年針對(duì) CVSS 評(píng)分的研究就發(fā)現(xiàn)，“僅根據(jù) CVSS 評(píng)分高低修復(fù)漏洞，無(wú)異于隨機(jī)揀取漏洞修復(fù)。” 該研究還發(fā)現(xiàn)，盡管漏洞的 CVSS 評(píng)分似乎與其武器化概率并無(wú)關(guān)聯(lián)，但有其他因素與之相關(guān)，包括：是否存在漏洞利用概念驗(yàn)證代碼，深網(wǎng)論壇、暗網(wǎng)市場(chǎng)等非法在線社區(qū)是否提到該漏洞利用代碼等。

鑒于絕大多數(shù)通用漏洞與暴露 (CVE) 從未武器化，該研究的結(jié)論具有一定實(shí)際意義。高 CVSS 評(píng)分的 CVE 只有在惡意黑客能武器化的時(shí)候才是真正的威脅。但要武器化漏洞，黑客首先得確定武器化方法，而這通常都需要概念驗(yàn)證 (POC) 代碼。使用或開(kāi)發(fā) POC 代碼的過(guò)程往往包含大量試錯(cuò)。若不在深/暗網(wǎng)和其他非法在線社區(qū)中與別的黑客交流，多數(shù)黑客一般是搞不定的。

換句話說(shuō)，無(wú)論 CVSS 評(píng)分是高是低，評(píng)估漏洞時(shí)都需要將是否存在 POC 代碼和相關(guān)黑客討論作為重要風(fēng)險(xiǎn)因素加以考量。

3. 風(fēng)險(xiǎn)評(píng)估框架

出于修復(fù)排序目的的風(fēng)險(xiǎn)評(píng)估過(guò)程優(yōu)化可以考慮采用評(píng)估框架。現(xiàn)成的風(fēng)險(xiǎn)評(píng)估框架有很多，其中一些還是特定監(jiān)管機(jī)構(gòu)強(qiáng)制要求或建議采用的，這些現(xiàn)成的框架都能幫助安全團(tuán)隊(duì)更有效地評(píng)估、排序和管理不同風(fēng)險(xiǎn)。

但無(wú)論采用哪種框架，都需要根據(jù)公司特定環(huán)境和風(fēng)險(xiǎn)因素加以實(shí)現(xiàn)。也就是說(shuō)，你需要統(tǒng)計(jì)資產(chǎn)，評(píng)估資產(chǎn)被黑的潛在影響， 判斷漏洞武器化概率。無(wú)論有沒(méi)有應(yīng)用漏洞風(fēng)險(xiǎn)評(píng)估框架，缺了上述信息都無(wú)法準(zhǔn)確評(píng)估漏洞對(duì)公司的特定風(fēng)險(xiǎn)。

除此之外，還需謹(jǐn)記：雖然合規(guī)不應(yīng)是安全項(xiàng)目的最終目標(biāo)，但各個(gè)合規(guī)要求都強(qiáng)調(diào)風(fēng)險(xiǎn)必然是有原因的。有效管理漏洞，尤其是合理排序修復(fù)動(dòng)作，只有基于風(fēng)險(xiǎn)才是可行的。

針對(duì) CVSS 評(píng)分的研究報(bào)告原文：

https://www.researchgate.net/publication/270697273_Comparing_Vulnerability_Severity_and_Exploits_Using_Case-Control_Studies

【本文是51CTO專(zhuān)欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文