关于安全:GartnerVPT技术原理-如何确定网络攻击面上的风险优先级

35次阅读

共计 2016 个字符,预计需要花费 6 分钟才能阅读完成。

无论公司规模大小,您都永远没有足够的资源来解决网络攻击面上的每一个破绽。确定优先级至关重要。

平安团队须要理解企业环境中的破绽:

各种规模的组织都正被其网络中曾经存在的大量破绽所笼罩。而且,随着古代网络的扩大化和多样化,这个数字仍在飞速增长——这导致了一个一直扩大的、动静的攻击面。
负责平安的领导须要理解企业环境中的破绽,并应用这些数据来确定其团队工作的优先级。
然而有一个问题:咱们明天解决的破绽比以往任何时候都多。事实上,破绽的数量在过来几年里简直减少了两倍[来自 Tenable 钻研报告]

传统的办法正在变得落后:

仅在 2019 年,就披露了 17,313 个新的破绽。这意味着,平安团队均匀每天都面临着 47 个新的破绽。因为资源和工夫的不足,他们须要一种简略的优先级断定办法来思考优先要修复哪些破绽。
许多组织正在应用传统的办法,如常见破绽评分零碎 (CVSS) 来尝试对修复破绽进行优先级排序。大多数企业尝试修复所有高分和要害破绽(CVSS 得分 7 及以上)。有些企业可能会抉择只集中关注要害破绽(CVSS 评分 为 9 分及以上)。

“CVSS 旨在辨认破绽的技术严重性。相同,人们仿佛想晓得的是,破绽或缺点给他们带来的危险,或者是他们面对破绽应该有如何的反应速度。——卡内基梅隆大学[来自“Towards Improving CVSS”——卡内基梅隆大学软件工程研究所,2018 年 12 月]

CVSS 将太多的破绽归类为高危破绽和重大破绽:

依据 Tenable 钻研报告,56% 的破绽的 CVSS 评分为 7 或更高,因而被认为是高危或重大破绽(见图 1)。这意味着,对于每 10 万个破绽,CVSS 规定平安团队必须修复其中的 5.6 万个破绽。因而,不难看出,如果应用 CVSS,工作负荷就会迅速失控,尤其是思考到大多数大型企业都有数百万个破绽。

                图 1:CVSS 将大多数破绽评分为高破绽或重大破绽

更重要的是,CVSS 是一种齐全有效的破绽修复优先级参考办法。这是因为 CVSS 是没有危险属性的。因为大多数 CVSS 分数是在破绽发现后的两周内调配的,因而该分数仅理论性的参考了破绽可能带来的危险。这会导致平安团队的大部分精力被节约在谬误的破绽上。更蹩脚的是,他们漠视了许多对业务形成间接威逼的要害破绽。

CVSS 是辨别实在危险的一个较差的指标:

即便您的团队可能解决所有得分 7 分及以上的破绽,目前也只有不到四分之一(24%)的可利用的破绽(见图 2)。换句话说,如果您应用 CVSS7+ 的策略来确定危险管理工作的优先级,示意您正在节约团队 76% 的工夫去修复短期内简直没有危险的破绽。

                   图 2: 基于 CVSS 根本分数的可利用性剖析

更蹩脚的是,将近一半具备短期内可被利用性的破绽(44%),CVSS 根本得分低于 7(见图 2)。然而,基于 CVSS7+ 的策略,您可能会齐全疏忽这些高风险破绽。

攻击面正在扩充:

攻击面也在扩充,造成了一个被攻击者利用的缺口。除了传统的 IT 资产之外,古代攻击面也须要您思考云环境和 OT 环境中的弱点。问题是,当攻击者正在扫描所有这些环境,以找到最简略的攻打办法时,传统的破绽治理办法仅限于扫描传统 IT 环境,因而您永远不会发现云资产和 OT 资产中的任何弱点。

基于危险的破绽治理办法是很有必要的:

基于危险的破绽治理能够帮忙平安团队在企业环境中处理破绽。他们不能齐全依赖于 CVSS,而是能够将其与几十个根本的破绽特色联合起来,以确定其严重性。而后,能够将所有这些数据与其余要害危险指标分割起来,包含受影响资产的重大水平、威逼和利用情报,以及对以后和将来可能产生的攻击者流动的评估。
此剖析的后果可使平安团队可能集中关注最重要的破绽和资产。他们不会把工夫节约在利用率低的破绽上,而是能够解决对业务形成危险最大的问题。

将数据转化为决策:

无效确定每个破绽对组织造成的危险级别所需的数据和剖析量不能是由人类独自实现的,因而须要通过自动化来扩大此过程。
这种自动化甚至能够包含基于机器学习的技术,这些技术能够依据过来和以后对于该破绽、资产和攻击者流动的信息,来预测在不久的未来该破绽被利用的可能性。此剖析将在几秒钟内为组织的每个破绽取得危险分数,使平安团队可能首先关注最重要的问题。

利用迷信的数据预测危险:

Tenable 钻研报告剖析了 11 万个破绽,以构建基于机器学习的模型,这是 Tenable.io(在云端)和 Tenable.sc(在本地)固有的能力。预测优先级是基于破绽被用于网络攻击的概率对破绽进行评分。
该模型思考了危险的 150 多个方面,包含来自这 7 个数据源的破绽特色:
• 传统威逼形式
• CVSS
• 美国国家破绽库
• 数据库
• 传统攻打
• 有破绽的软件
• EXP
• 传统威逼起源

通过预测优先级,平安团队能够通过首先关注最有可能被利用的 3% 的破绽,从而显著进步其修复效率和修复有效性。

文章内容译自 Tenable:
《Whitepaper-How to Prioritize Risk Across the Cyberattack Surface》

正文完
 0