关于漏洞:漏洞优先级排序的六大关键因素

5次阅读

共计 2054 个字符，预计需要花费 6 分钟才能阅读完成。

当咱们谈及开源破绽时，咱们会发现其数量永远处于增长状态。依据平安公司 Mend 钻研发现，在 2022 年前九个月发现并增加到其破绽数据库中的开源破绽数量比 2021 年减少了 33%。该报告从 2022 年 1 月到 2022 年 9 月对大概 1,000 家北美公司进行了代表性抽样，结果显示已知破绽中只有 13% 失去了修复。面对数量宏大的破绽，企业不得不对其进行优先级排序，例如像 log4j 这类可能造成重大业务危险的破绽会被优先解决，其余破绽则临时疏忽。

因而，无效地确定破绽的优先级对于企业来说非常要害。在本文中，咱们将一起探讨破绽优先级排序的六大关键因素。

重大水平能够说是最间接的思考因素。每个破绽都被归类在常见破绽和披露 (CVE) 列表中，并被赋予一个示意其严重性的常见破绽分数 (CVSS)。一般来说，严重性越高，修复破绽的优先级越高。然而，状况并非总是如此。例如，CVSS 分数可能须要一些工夫能力调配给新破绽，因而零日破绽可能会被忽视。此外，只有当破绽与企业代码中应用的组件或依赖项相关联时，它才会带来危险。如果并无关联，那么它不会威逼到企业的代码库。

有一些破绽很容易在攻打中应用或利用，这也导致这些破绽被歹意攻击者利用的概率大大增加。须要留神的是，往往具备潜在重大影响的破绽其可利用性反而较低，而不太重大的破绽可能很容易且常常被利用。在这种状况下，不太重大的破绽可能会带来更高的利用危险，因而优先思考这类破绽是十分必要的。

破绽只有在可拜访的状况下能力被利用。换句话说，当攻击者能够找到从代码到破绽的清晰门路时，攻击者才会利用这个破绽。如果企业正在调用易受攻击的代码，那么该代码中的破绽可能会被利用。如果没有门路，代码无奈间接调用破绽。当威逼行为者发现了含有破绽的代码，但代码并未被企业软件或应用程序执行，这类破绽的可达性非常低。因而对于企业来说优先思考可达到的破绽，因为这些破绽更容易被利用。

在进行优先级排序时还有一个重要问题是：企业的软件或应用程序存在哪些业务危险？这种思考次要围绕数据，特地是客户的财务和个人身份数据。这种信息对歹意行为者来说很有价值，经常成为攻击者的指标。因而，解决此类数据的软件和应用程序中的破绽是优先思考的次要对象。

同样，企业应该思考如何应用企业自行开发的软件或应用程序。这个软件 / 应用程序是边缘应用程序还是要害应用程序？它会被大量和各种各样的用户频繁应用吗？该应用程序是否连贯到网络（这对攻击者来说是一个有吸引力的接入点）？是否用于生产？它仅供外部应用，还是也供客户和合作伙伴等第三方实时应用？实际上，如果频繁应用的要害应用程序，且对其余用户和组织凋谢，并在生产中应用，这类应用程序可能更容易受到攻打，并会让企业面临更大的危险，因而企业该当优先思考这类应用程序中的破绽。

还有一个优先级参考因素是修复可用性。如果没有可用的修复程序，那么确定破绽的优先级就会变得毫无意义。在该破绽公布修复程序之前，企业是无奈采取任何措施来进行修复和补救的。

在确定破绽的优先级时，应依据上下文思考所有上述注意事项。施行基于上下文的优先级排序是十分必要的，因为有时在一些状况中很重大的破绽但在另一些用例中的影响并不大或基本没有影响。例如，企业可能会遇到一个重大的 CVE，它使任何运行特定应用程序的 Windows 机器都能够利用某些近程代码执行，攻击者甚至能够接管该应用程序。然而理论企业应用的是 Linux，因而只管该破绽可能会对数百万 Windows 用户产生微小影响，但它对企业没有不利影响。依据不同的环境，破绽的威逼会立刻从高变为零。

而对于该企业更须要关注的是 Linux 中的中等严重性破绽，即便这个破绽严重性并不高，也可能对企业造成侵害。

企业的应用程序平安解决方案应该可能通过这些思考因素中的每一个来收集和评估破绽。应用优先级漏斗，数以千计的未辨别和未过滤的破绽进入漏斗的顶部。随着通过有数层的思考规范，许多破绽被过滤掉，例如：

轻度重大
不可利用或可利用性低
不可达
很少或从未在代码库中应用
对敏感数据存在低危险或无风险
仅存在于外部应用程序中，对第三方没有威逼
在操作环境中有效
曾经能够修复

图片起源：Mend

所有上述情况可能的确是破绽，但重点是它们对企业的特定代码、软件和应用程序的威逼能够忽略不计。从企业的角度来看，这些破绽是误报，能够疏忽它们，或者至多升高优先级，从而让企业有更多工夫和精力来解决那些处于漏斗底部的破绽。这些破绽可能形成实在、间接和严重威胁，是企业真正须要优先思考的。而通过漏斗过滤这一过程，企业可能分明地区分和意识哪些破绽该当被优先解决。