抓狂!先修哪个漏洞?(阅后即焚)
抓狂!先修哪个漏洞?(阅后即焚)
原创 ThreatBook 微步在线 2023-11-23 11:01
看到这篇你就赚了!
先看企业安全团队修漏洞的三个“迷惑”:
1. 漏扫告警多,但人手就几个,哪个真正需要修?
-
漏洞修复需要PoC等细节验证资产受影响程度,也需要技术细节说服其他部门配合,但这些漏洞信息很难获得;
-
很多漏洞不能及时获得补丁,怎么办?安全团队与业务团队相互拉扯,没法直接打补丁,缓解或加固方案怎么做?
最近,事件响应和安全团队论坛(FIRST)发布的CVSS v4.0则有望解决“漏洞要不要修?”“先修哪个漏洞”等问题。CVSS v4.0 新增了威胁指标,评分
从单一漏洞技术特征评估向更立体的漏洞风险评估的转变
,强调了威胁情报对漏洞运营的重要意义。
作为威胁情报领域“浪波汪”的安全企业,微步认为,企业应
将漏洞信息与威胁情报相结合,基于漏洞严重性,再综合漏洞在野利用、攻击工具、攻击团伙以及攻击活跃度等实时信息,形成更立体的、更具实战意义的漏洞风险评估
,可以帮助企业实现更高效的漏洞运营。
CVSS v4.0为何“改变”
CVSS,是 Common Vulnerability Scoring System 的缩写,中文翻译为“通用漏洞评分系统”,其初衷是
用于衡量软件漏洞严重性的标准性方法
。但在CVSS v4.0之前,CVSS并
不能真实反映漏洞对企业安全的影响
,用一张图说明:
这张图反映了漏洞利用攻击与CVSS评分级别之间的矛盾:CVSS评分越高意味着对软件系统的影响越大,但实际上攻击者利用更多的是那些CVSS评分为“中等”严重级别的漏洞(如上图中的黄色折线)。
尽管CVSS经过多次修改,比如目前被广泛使用的CVSS v3.0版本,以及2019年更新的CVSS v3.1版本,但均未能解决“
CVSS得出的漏洞严重性无法代表真实的漏洞风险
”这一问题。其最核心的原因在于,
漏洞在野利用等信息是随时间动态变化的,一次性的漏洞定级显然不具备实战意义
。
显然,FIRST也期望通过更新CVSS评分标准来让其更具实战意义,如果CVSS v4.0能获得行业普遍认可,则有望解决上述问题。
重头戏:CVSS v4.0新增威胁指标
如上图所示,与CVSS v3.0相比,
CVSS v4.0新增了威胁指标,细化了环境指标和基础指标
。FIRST对威胁指标的介绍:
威胁指标主要体现漏洞的利用成熟度
。而漏洞利用成熟度有三个指标值:PoC未公开、PoC已公开、已经捕获到针对该漏洞的攻击。CVSS v4.0也明确提出需要
利用威胁情报来进行决策,而且要实时更新
。这实际意味着威胁情报对威胁指标具有决定性作用
。
除了新增的威胁指标之外,CVSS v4.0还弱化了基础评分的重要性,FIRST强调:
漏洞的基础评分只是衡量漏洞的严重性,而非漏洞风险
。针对漏洞风险的评估,实际上要参考集合了基础、环境、威胁三大指标后的综合评分——
CVSS-BTE(Base&Threat&Env)
。
CVSS-BTE(Base&Threat&Env)对于企业漏洞运营的意义在于,企业除了应该
关注
该漏洞的技术评估(基础指标)
之外
,更要重视
关注
该受漏洞影响的软件系统在企业中的重要性(环境指标),以及该漏洞的在野利用情况(威胁指标)
。道理很简单,不管这个漏洞的基础评分如何,如果受该漏洞影响的软件在企业中的重要性比较高,而黑客正频繁使用的话,那么企业就应该尽早修复加固此漏洞。
因此从CVSS v4.0标准来看,
新的CVSS评分结果有助于企业更高效地决策漏洞处置优先级,快速、及时识别高风险漏洞并快速响应
。
更具实战价值的漏洞情报长什么样?
在过去很长一段时间,企业漏洞运营通常依靠漏洞信息库,来自公开渠道的数据有着信息质量低、数据量少、字段杂乱不统一等问题;并且,企业在漏洞修复时的落脚点通常落在漏洞上,没有反向思考漏洞风险是否真实存在,会不会因为修复某个漏洞而引入了新的安全风险?这在很多时候会造成投入了资源但却没有意义的结果。
微步认为企业漏洞运营的正确落脚点应该是在安全风险上,应该从及时性、优先级、可操作性等三个方面为企业漏洞运营提效。为达成这一目标,微步基于多年一线实战经验,提出了“
漏洞情报=漏洞+情报
”的新理念,即漏洞情报除了包含漏洞影响范围、PoC基本信息外,还应该包括漏洞的利用情况、攻击者画像、活跃度等威胁情报内容,并与企业内部资产情况相结合,以为企业提供更具实战意义的漏洞情报。
根据这一新的理念,微步在2023年CSOP大会上推出了漏洞情报服务,微步漏洞情报除了包含经过漏洞专家验证的漏洞技术评估
外,还将漏洞与安全事件库、APT组织和黑产团伙大数据、在野漏洞利用行为大数据进行关联
,再加上724持续跟踪漏洞的武器化情报(比如是否有新的利用手法、补丁是否绕过、武器化程度),对
漏洞风险因素进行持续的捕获和更新*
,对“当前”漏洞的实际威胁输出实时的、直观的结论。
微步利用VPT引擎将威胁情报与漏洞信息进行关联、研判,再与企业资产相结合,从而确定漏洞修复优先级
按照CVSS v4.0标准来看,微步漏洞情报已经包含了基础、威胁与环境等三大指标。实际上,微步漏洞情报服务除了
帮助企业
确定漏洞修复优先级
之外,还提供
漏洞复现过程、PoC、漏洞复现流量包等报告与工具
,让有更高阶需求的企业用户能够
更深入地了解漏洞的完整细节,转化成检测规则等安全能力
,让企业能够实现更高效的漏洞运营。
微步推出的漏洞情报服务,已经在诸多头部企业中得以应用,经实践证明,融合了威胁情报的漏洞情报不仅更具科学性,让企业能够快速、高效地将注意力聚焦在真正有风险的漏洞上;同时也更具实战价值,结合持续更新的漏洞在野利用等信息,企业能够更有针对性地调整安全策略,辅助安全决策。
安全传送门
体验微步漏洞情报
扫码一键试用
↓
↓↓
400-030-1051
· END ·
戳“
阅读全文
”,体验微步漏洞情报
↙
↙
↙