如何对系统中的网络安全漏洞进行评级?

在启用漏洞管理程序后不久，企业往往会发现自己面临着海量的网络安全漏洞数据。扫描这些结果可能让企业看到分布在各种不同的系统和应用中的数百甚至数千个漏洞。

安全专业人员应该如何解决这个风险问题?在本文中，我们将研究一种三角叉式优先级方案，其中整合了外部关键性评估、数据敏感度和现有控制环境来帮助企业成功地对漏洞进行评级，同时优化整治工作。

这种三步骤过程是假定你已经获取了关于环境中存在的网络安全漏洞的信息、由系统和应用处理的信息的敏感度以及环境中现有安全控制的状态。这些信息可能来自不同的漏洞管理程序，包括Web和网络漏洞扫描器、数据丢失防护系统和配置管理软件等。

步骤1：确定漏洞的严重程度

你首先需要的数据元素是评估你环境中存在的每个漏洞的严重程度。在很多情况下，你可以从漏洞管理工具供应商的数据feed来获取这种严重程度的信息。

这种严重程度评估应该基于一个成功的漏洞利用可能造成的潜在的损害。例如，允许攻击者获取对系统的管理访问权限的漏洞比导致拒绝服务的漏洞要严重得多。严重程度信息也可能会考虑现实世界中存在的漏洞利用;与没有已知漏洞利用的理论漏洞相比，恶意软件使用的漏洞更严重。

对于我们模型的目的，我们将假设你在使用具有5级漏洞评级系统的产品，其中，具有最高破坏性的漏洞被评为5级。

步骤2：确定数据的敏感度

漏洞带来的风险会因为包含该漏洞的系统上的信息的敏感程度而加倍。例如，与仅包含公开信息的系统相比，包含社会安全号码或者信用卡数据的系统应该得到更多的关注和更多保护。

然而，这并不意味着，企业只需要管理好包含敏感信息的系统，因为如果面向公众的网站受到攻击，你的企业将会遭受与敏感信息泄漏相同的声誉损失。不过，敏感信息的存在确实放大了攻击的影响力。

收集有关数据敏感度的信息可能会非常棘手，这取决于你的信息分类机制的成熟度。如果你才刚刚起步，你最好使用相对简单的模型，根据数据的敏感度将数据分类：

高敏感度信息即受到严格监管的信息，或者如果泄漏将对企业带来严重破坏的数据。我们信息安全机制的“御宝”包含这些数据元素：信用卡数据、受保护的医疗信息和银行账户详细信息。

内部信息是指不符合“高度敏感”类别但也不应该被公开发布的信息。此类别可能看起来过于宽泛，它也是最难定义的类别。如果你没有数据分类机制，将所有这些数据归为一类是最合适的开始方式。如果企业需要分类，可以考虑以后再细分类别。

公开信息是指你的企业愿意透露给公众的信息，例如产品文献、你的公共网站上的数据以及发布的财务报表。

当对系统进行数据敏感度评级时，你的评估应该基于系统存储或处理的信息的最高敏感度水平。处理高敏感度信息的系统被评为5级，而处理内部信息的系统可能被评为2级、3级或3级，这取决于敏感度水平。所有其他系统都被评为1级。

步骤3：评估现有控制

这个过程的最后一步是评估现有控制—这些控制保护潜在易受攻击的系统免受攻击。根据你企业需要的具体控制的不同，你用来进行评级的方法也会有所不同。例如，如果你有一个高度安全的网络用于极度敏感的系统，对于5级控制评级标准，你可能会将这些系统评为5级。同样地，如果使用公共IP地址的系统可以通过互联网从web应用访问，而没有受到web应用防火墙保护，这种系统可能被评为1级或者2级。你应该选择能够准确反映你的环境中预期控制的评级标准，然后对具有强大安全控制的系统评为较高等级。

整合这些数据

在收集了所有这些信息后，你可以利用它们来评估你的报告中出现的漏洞。而且，在你将所有这些数据收集在一起后，你可以对系统中存在的每个漏洞执行下面这个简单的计算：

风险数=(漏洞严重程度*数据敏感度)/现有控制

如果每个选项都是5分制，这个漏洞评级范围将是从最低0.2分(在仅包含公共信息的良好控制的系统中存在的的严重性漏洞)到最高25分(包含高敏感度信息而缺乏安全控制的系统中存在高严重性漏洞)。

虽然这看起来需要收集大量数据以及执行大量计算，你可以找到方法来自动化这个过程并改进你的漏洞优先级工作。例如，你可以创建一个数据库来存储关于所有服务器资产的数据敏感度和控制状态信息。

同样地，你可以利用脚本来分析供应商报告，以自动化提取漏洞严重度信息，从数据库中提取相关信息并计算风险分数。

我们有很多方法来为企业定制网络安全漏洞优先级系统。无论你做出怎样的调整，对于任何想要降低IT安全风险的企业而言，基于风险优先级决策的有效的漏洞管理程序都是一个必须因素。简化用来执行漏洞风险分析的程序，让企业更容易开始和维护这样一个程序。