当谈到开源漏洞时,我们会发现它们似乎永远处于增长状态。事实上,UniSCA的开源风险报告显示,与2021年同期相比,2022年前9个月添加到UniSCA漏洞数据库中的开源软件漏洞数量增长了33% 。然而,虽然有些漏洞会带来严重的业务风险(比如log4j),但其他某些漏洞则可以暂时地忽略。问题是,如何有效地对漏洞进行优先排序?在确定漏洞的优先次序时,我们首先根据以下六个因素进行评估:
影响因素
1.严重程度
这可以说是首先需要考虑的因素。每个漏洞都被分类在通用漏洞披露(CVE)列表中,并被赋予一个表示其严重性的公共漏洞评分(CVSS)。一般来说,严重性越高,修复漏洞的优先级就越高。然而,情况并非总是如此。例如,CVSS 评分可能需要一段时间才能分配给新的漏洞,所以说,这其中的零日漏洞可能会被忽略。此外,漏洞只有在与代码中使用的组件或依赖关联时才会带来风险。如果没有,那么它就不会威胁到您的代码库。
2.Exp(可利用性)
一些漏洞很容易在攻击中被使用或利用,因此它们很可能被威胁行为者盯上。具有潜在严重影响的漏洞可能具有较低的可利用性,而不太严重的漏洞则可能容易且经常被利用。在这种情况下,不太严重的漏洞可能会带来更高的安全风险,因此优先考虑它是十分有必要的。
3.可达性
漏洞只有在可以利用的情况下才会被利用。换句话说,即攻击者可以找到一个明确的从代码到漏洞的路径。如果您调用的是易受攻击的代码,那么这个易受攻击的代码可能会被利用。当没有路径时,代码就不会直接调用该漏洞。有些漏洞存在于没有被软件或应用程序执行的代码中,因此无法从代码中访问它们。重点关注这些目标是浪费时间和资源的表现,更好的做法是优先考虑那些可以访问的,更容易被利用的漏洞。
4.商业风险
另一个重要问题是,您的软件或应用程序存在哪些商业风险?这种考虑主要涉及私有数据,特别是客户的财务和个人可识别数据。这类信息对于恶意行为者来说是有非常有价值的,并且将成为他们主要攻击的目标。因此,处理包含这些数据的软件和应用程序中的漏洞是优先级排序的主要考虑因素之一。
5.软件使用情况
同样,您应该考虑如何使用您开发的软件或应用程序。它是一个边缘的还是关键的软件?它是否会经常被大量的或各种各样的其他人使用?它是否连接到网络?网络通常是攻击者的一个有吸引力的访问点。它是否用于产品?它是仅供内部使用,还是也由第三方(如客户和合作伙伴)实时使用?理所当然地,大量使用的关键应用程序,向其他用户和组织开放,并在生产中使用,可能更容易受到攻击,并将使您面临更多风险,因此您可能希望优先考虑它们。
6.可修复性
另一个优先级参数为是否有可用的修复路径。这听起来可能很简单,但是如果没有可用的修复方法,那么对一个漏洞进行优先级排序(可以说把它放在队列的前面)就没有什么意义了。在那个时候,在解决方案发布之前,您无法对这种情况进行补救。
优先级排序漏斗
您的软件安全性解决方案应该能够通过这些考虑因素中的每一个关键点来评估漏洞。使用优先级排序漏斗,数以千计的未区分和未过滤的漏洞将进入漏斗的顶部。随着它们的移动,通过众多层次的考虑标准,许多被过滤掉了,例如:
- 严重程度轻微
- 不可利用的或可利用性低的
- 可达性弱
- 在代码库中轻度使用或从不使用
- 对敏感数据的风险很低或没有风险
- 仅存在于内部应用程序中,不对第三方构成威胁
- 在你的工作环境中无效
- 已被修复的
现在,所有这些可能确实是漏洞,但是重点是它们对您的特定代码、软件和应用程序的威胁程度可以忽略不计。从你的角度来看,他们是所谓的误报,他们可以被忽视,应该至少剥夺它们的优先级,让其出于漏斗的底部。重要的是,通过漏斗过滤的这个过程,您会最终清楚地认识到应该立即解决的最高优先级漏洞在哪。
理想的漏洞优先级排序工具
UniSCA自动根据您的使用规范执行此漏斗过程。最重要的是,它将不仅仅依赖于严重性指标,而且会对漏洞应用更广泛的上下文,以简化和加速您的安全性和补救过程。例如,UniSCA能根据您指定的注意事项范围应用优先级评分。优先级评分使您能够做出明智的决策,并实现自动化修复策略,以便首先解决对您的业务最大的总体威胁。它使用有效使用分析技术,扫描具有已知漏洞的开放源代码组件,以评估您的专有代码是否正在调用易受攻击的组件。UniSCA具有市场领先的知识库与漏洞分析引擎,它不仅可以识别漏洞,检测它何时可以被利用,还可以通过依赖图识别它们是否可达。UniSCA不仅仅是像其他工具一样简单的用高中低来标识漏洞风险等级。我们在 UI 中使用依赖图与知识图谱突出显示可用的组件和依赖项。我们会告诉您哪些是不可达的,哪些是无可利用性的,哪些是真正需要提上日程的漏洞。我们的研究表明,只有15% 到30% 的漏洞确实有效,因此您可以大大减少需要优先考虑和针对那些最重要的漏洞的数量以提高工作效率。
3211
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
