漏洞优先级排序的六大关键因素

news2024/11/16 20:22:59

当我们谈及开源漏洞时,我们会发现其数量永远处于增长状态。根据安全公司 Mend 研究发现,在 2022 年前九个月发现并添加到其漏洞数据库中的开源漏洞数量比 2021 年增加了 33%。该报告从 2022 年 1 月到 2022 年 9 月对大约 1,000 家北美公司进行了代表性抽样,结果显示已知漏洞中只有 13% 得到了修复。面对数量庞大的漏洞,企业不得不对其进行优先级排序,例如像 log4j 这类能够造成严重业务风险的漏洞会被优先处理,其他漏洞则暂时忽略。
 

因此,有效地确定漏洞的优先级对于企业来说十分关键。在本文中,我们将一同探讨漏洞优先级排序的六大关键因素。
 

1. 严重程度(Severity)

严重程度可以说是最直接的考虑因素。每个漏洞都被归类在常见漏洞和披露 (CVE) 列表中,并被赋予一个表示其严重性的常见漏洞分数(CVSS)。一般来说,严重性越高,修复漏洞的优先级越高。然而,情况并非总是如此。例如,CVSS 分数可能需要一些时间才能分配给新漏洞,因此零日漏洞可能会被忽视。此外,只有当漏洞与企业代码中使用的组件或依赖项相关联时,它才会带来风险。如果并无关联,那么它不会威胁到企业的代码库。
 

2. 可利用性(Exploitability)

有一些漏洞很容易在攻击中使用或利用,这也导致这些漏洞被恶意攻击者利用的概率大大增加。需要注意的是,往往具有潜在严重影响的漏洞其可利用性反而较低,而不太严重的漏洞可能很容易且经常被利用。在这种情况下,不太严重的漏洞可能会带来更高的利用风险,因此优先考虑这类漏洞是十分必要的。
 

3. 可达性(Reachability)

漏洞只有在可访问的情况下才能被利用。换句话说,当攻击者可以找到从代码到漏洞的清晰路径时,攻击者才会利用这个漏洞。如果企业正在调用易受攻击的代码,那么该代码中的漏洞可能会被利用。如果没有路径,代码无法直接调用漏洞。当威胁行为者发现了含有漏洞的代码,但代码并未被企业软件或应用程序执行,这类漏洞的可达性非常低。因此对于企业来说优先考虑可到达的漏洞,因为这些漏洞更容易被利用。
 

4. 经营风险(Business Risk)

在进行优先级排序时还有一个重要问题是:企业的软件或应用程序存在哪些业务风险?这种考虑主要围绕数据,特别是客户的财务和个人身份数据。这种信息对恶意行为者来说很有价值,常常成为攻击者的目标。因此,处理此类数据的软件和应用程序中的漏洞是优先考虑的主要对象。
 

5. 应用程序的使用(Application Usage)

同样,企业应该考虑如何使用企业自行开发的软件或应用程序。这个软件/应用程序是边缘应用程序还是关键应用程序?它会被大量和各种各样的用户频繁使用吗?该应用程序是否连接到网络(这对攻击者来说是一个有吸引力的接入点)?是否用于生产?它仅供内部使用,还是也供客户和合作伙伴等第三方实时使用?实际上,如果频繁使用的关键应用程序,且对其他用户和组织开放,并在生产中使用,这类应用程序可能更容易受到攻击,并会让企业面临更大的风险,因此企业应当优先考虑这类应用程序中的漏洞。
 

6. 修复可用性(Fix Availability)

还有一个优先级参考因素是修复可用性。如果没有可用的修复程序,那么确定漏洞的优先级就会变得毫无意义。在该漏洞发布修复程序之前,企业是无法采取任何措施来进行修复和补救的。
 

考虑上下文

在确定漏洞的优先级时,应根据上下文考虑所有上述注意事项。实施基于上下文的优先级排序是十分必要的,因为有时在一些情况中很严重的漏洞但在另一些用例中的影响并不大或根本没有影响。例如,企业可能会遇到一个严重的 CVE,它使任何运行特定应用程序的 Windows 机器都可以利用某些远程代码执行,攻击者甚至可以接管该应用程序。但是实际企业使用的是 Linux,因此尽管该漏洞可能会对数百万 Windows 用户产生巨大影响,但它对企业没有不利影响。根据不同的环境,漏洞的威胁会立即从高变为零。
 

而对于该企业更需要关注的是 Linux 中的中等严重性漏洞,即使这个漏洞严重性并不高,也可能对企业造成损害。
 

使用优先级漏斗

企业的应用程序安全解决方案应该能够通过这些考虑因素中的每一个来收集和评估漏洞。使用优先级漏斗,数以千计的未区分和未过滤的漏洞进入漏斗的顶部。随着通过无数层的考虑标准,许多漏洞被过滤掉,例如:

  • 轻度严重
  • 不可利用或可利用性低
  • 不可达
  • 很少或从未在代码库中使用
  • 对敏感数据存在低风险或无风险
  • 仅存在于内部应用程序中,对第三方没有威胁
  • 在操作环境中无效
  • 已经可以修复

在这里插入图片描述

图片来源:Mend
 

所有上述情况可能确实是漏洞,但重点是它们对企业的特定代码、软件和应用程序的威胁可以忽略不计。从企业的角度来看,这些漏洞是误报,可以忽略它们,或者至少降低优先级,从而让企业有更多时间和精力来处理那些处于漏斗底部的漏洞。这些漏洞能够构成真实、直接和严重威胁,是企业真正需要优先考虑的。而通过漏斗过滤这一过程,企业能够清楚地区分和意识哪些漏洞应当被优先解决。
 

参考链接:
https://www.mend.io/resources/blog/what-are-the-key-considerations-for-vulnerability-prioritization/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/150101.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

一篇文章解决C语言操作符

我的主页:一只认真写代码的程序猿本文章是关于C语言操作符的讲解收录于专栏【C语言的学习】 目录 1、算术操作符 2、赋值操作符 3、关系操作符 4、条件操作符(三目) 5、逻辑操作符 6、单目操作符 7、移位操作符 8、位操作符 9、逗号…

使用Docker+Nignx部署vue项目

文章目录一、前言二、vue项目打包三、nginx基本介绍①nginx常用的功能:②nginx默认的主题配置文件解读③nginx目录解读三、docker内部署nginx①拉取nginx镜像②创建数据持久化目录☆☆☆③创建需要映射进去的文件④运行nginx四、大工告成最近(之前&#…

2023年DAMA-CDGA/CDGP数据治理工程师认证(线上班)报名

DAMA认证为数据管理专业人士提供职业目标晋升规划,彰显了职业发展里程碑及发展阶梯定义,帮助数据管理从业人士获得企业数字化转型战略下的必备职业能力,促进开展工作实践应用及实际问题解决,形成企业所需的新数字经济下的核心职业…

gcc、g++,linux升级gcc、g++

安装cv-cuda库,要求gcc11,cmake>3.22版本。 Linux distro:Ubuntu x86_64 > 18.04WSL2 with Ubuntu > 20.04 (tested with 20.04) CUDA Driver > 11.7 (Not tested on 12.0) GCC > 11.0 Python > 3.7 cmake > 3.22gcc、g介绍 参考&…

手把手安装GNN必备库 —— pytorch_geometric

0 BackGround GNN:图神经网络,由于传统的CNN网络无法表示顶点和边这种关系型数据,便出现了图神经网络解决这种图数据的表示问题,这属于CNN往图方向的应用扩展。 GCN:图卷积神经网络,GNN在训练过程中&#…

【ONE·R || 两次作业(二):GEO数据处理下载分析】

总言 两次作业汇报其二:GEO数据处理学习汇报。    文章目录总言2、作业二:GEO数据处理下载分析2.1、GEO数据库下载前准备2.2、GEO数据库下载及数据初步处理2.2.1、分阶段解析演示2.2.1.1、编号下载流程2.2.1.2、对gset[ 1 ]初步分析2.2.1.3、对gset[ 2…

基于requests框架实现接口自动化测试项目实战

requests库是一个常用的用于http请求的模块,它使用python语言编写,在当下python系列的接口自动化中应用广泛,本文将带领大家深入学习这个库,Python环境的安装就不在这里赘述了,我们直接开干。 01 requests的安装 win…

销售结束语话术

销售要记住,结束语不代表结束,而是下一次沟通的开始,所以销售要学会通过结束语来为自己争取下次沟通的机会。 前言 不论是哪一行业,对于销售而言,大多数成交的客户都是经过持续有效的跟踪的,还会出现有很多…

Java设计模式-原型模式Prototype

介绍 当我们有一个类的实例(Prototype)并且我们想通过复制原型来创建新对象时,通常使用Prototype模式。 原型模式是一种创建型设计模式。能够复制已有对象, 而又无需使代码依赖它们所属的类。 场景举例 现在有一只羊 tom&#xf…

iTerm2连接ssh配置

iTerm2连接ssh配置 #首先在/Users目录下按照如下命令创建sh脚本 cd /Users/#创建iterm文件夹 mkdir iterm#进入iterm文件夹 cd iterm#创建myserver.sh文件 touch myserver.sh#编辑myserver.sh文件 vi myserver.sh如果出现没有权限,就命令前面加上sudo 键盘输入i编…

斯皮尔曼相关(spearman)相关性分析一文详解+python实例代码

前言 相关性分析算是很多算法以及建模的基础知识之一了,十分经典。关于许多特征关联关系以及相关趋势都可以利用相关性分析计算表达。其中常见的相关性系数就有三种:person相关系数,spearman相关系数,Kendalls tau-b等级相关系数…

Java + OpenCv 根据PID/VID调用指定摄像头

问题: 主机接入了多个USB摄像头,传统的OpenCv是用摄像头插入usb的下标调取的,如过只接入一个摄像头那直接使用capture.open(0);这种方式调用没有任何问题,多个的话,就会出现问题,因为USB拔插时候对应摄像头…

用原生的方式写vue组件之深度剖析组件内部的原理

目录前言一,对组件的复习及理解二,模块化与组件化三,用原生的方式写vue组件3.1 准备工作3.2 创建组件3.3 组件中的data为什么是函数式写法3.4 组件中的template四,注册组件五,使用组件六,全局组件七&#x…

阿里云服务器ECS购买教程

本文是关于阿里云主机(服务器ECS)购买流程的一个详细介绍。阿里云服务器(Elastic Compute Service,简称 ECS)是一种简单高效、处理能力可弹性伸缩的计算服务,帮助您快速构建更稳定、安全的应用,…

机器学习实战教程(十二):线性回归提高篇

一、前言本篇文章讲解线性回归的缩减方法,岭回归以及逐步线性回归,同时熟悉sklearn的岭回归使用方法,对乐高玩具套件的二手价格做出预测。二、岭回归如果数据的特征比样本点还多应该怎么办?很显然,此时我们不能再使用上…

【Elsevier出版社】1区智能物联网类SCIEI,审稿友好~

1区智能物联网类SCI&EI 【出版社】Elsevier 【期刊简介】IF:5.5-6.0,JCR1区,中科院3区 【检索情况】SCI&EI 双检,正刊 【参考周期】3个月左右录用 【截稿日期】2023.2.28 【征稿领域】 ①物联网辅助的智能解决方案…

送给SQL开发者的一份新年礼物!麦聪软件发布一款纯Web化SQL开发工具,免安装还免费!

2023年新年伊始,麦聪软件再次迎来一个好消息:一款100%自主研发的纯Web化SQL开发工具——SQL Studio 1.0正式发布。这款产品让SQL开发者在Navicat、DBeaver之外,又多一款值得信赖的SQL开发工具可用。 图片 目前,SQL Studio 1.0面向…

qt读写xml文件(DOM和SAX两种方式)

一、XML简介: XML, 全称为扩展标记语言, 可用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML非常适合万维网传输,提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据,是Internet环境…

纵向联邦线性回归实现-Federated Machine Learning Concept and Applications论文复现

本实验的算法实现思路来自这篇论文Federated Machine Learning Concept and Applications 文章目录场景介绍同态加密算法python的phe库实现了加法同态加密角色1角色2传统的线性回归纵向联邦线性回归纵向联邦线性回归代码实现导入工具包准备数据使用普通线性回归训练搭建训练过程…

什么神仙操作,用代码能画这样的图

大家好,我是车辙。不知道同学们画流程图或者时序图一般用的什么软件?Visio 还是 Process On 或者语雀? 因为公司原因,在很多情况下,我一般用语雀画流程图或者思维导图。不过凡事也有例外,对于比较简单的图…