漏洞管理與合規(guī)相輔相成。正如遵循特定監(jiān)管標準有助于有效管理漏洞，有效管理漏洞也有助于規(guī)避可致違規(guī)的安全事件。

[[270086]]

但鑒于不同監(jiān)管機構(gòu)標準不同，既有效且合規(guī)的漏洞管理對不同組織機構(gòu)而言可能意味著不同的東西。但有一個例外：風險!所有標準都強調(diào)了風險!具體有：

• PCI DSS 要求 6.1 聲明：公司企業(yè)必須 “設立漏洞發(fā)現(xiàn)過程，并為新發(fā)現(xiàn)的安全漏洞賦予風險評分。”
• GDPR 第 32 條要求：實現(xiàn) “恰當?shù)募夹g性或組織性措施以確保適合風險情況的安全水平。”
• HIPAA 安全規(guī)則強制要求：“評估電子健康信息的機密性、完整性和可用性所面臨的潛在風險與漏洞。”
• GLBA 安全規(guī)定要求：公司企業(yè)須 “識別并評估客戶信息風險，評估當前風險控制安全措施的有效性。”

很多監(jiān)管標準都要求評估風險并以此做出恰當響應才能達成并維持合規(guī)，以上幾條不過摘錄一二而已。在漏洞管理語境下，如 PCI DSS 要求 6.1 所述，合規(guī)就意味著基于風險給漏洞排序并修復。

但由于漏洞對各家公司意義不同，要做到按風險管理漏洞并不容易。準確評估首先要確定：

• 漏洞武器化的概率有多高;
• 如果武器化，對特定公司的影響是什么。

想要確定這幾個變量，以下建議可供參考：

1. 了解資產(chǎn)情況

可能影響關鍵資產(chǎn)的漏洞絕對要優(yōu)先修復。對大多數(shù)企業(yè)而言，關鍵資產(chǎn)包括但不局限于適用于一個或多個安全合規(guī)要求的那些。比如說，受 HIPAA 管轄的公司企業(yè)就要特別關注含有個人健康信息的資產(chǎn);PCI DSS 轄下公司應重視支付卡數(shù)據(jù);GDPR 監(jiān)管下的公司企業(yè)還要將用戶數(shù)據(jù)也納入重點關注對象。

識別出關鍵資產(chǎn)后，還要確定并記錄下其存儲、處理、管理和可能被破壞的方式。與這些資產(chǎn)相關聯(lián)的技術有哪些?怎么連接的?哪些用戶可以出于哪種目的訪問這些資產(chǎn)?哪些人可能會想破壞/泄露這些資產(chǎn)?為什么?這些資產(chǎn)一旦被破壞/泄露，會造成什么后果?此類問題的答案有助于識別、分類和排序可能影響這些資產(chǎn)的潛在漏洞。

2. CVSS評分不代表一切

排序修復動作時最常犯的一個錯誤，是將通用漏洞評分系統(tǒng) (CVSS) 的分數(shù)等同于風險值。盡管 CVSS 評分能反映出漏洞本質(zhì)和漏洞武器化后的可能行為方式，但這些都是標準化的，并不能反映出上述兩個決定漏洞特定風險值的變量——武器化概率和針對公司的特定潛在影響。

事實上，2014 年針對 CVSS 評分的研究就發(fā)現(xiàn)，“僅根據(jù) CVSS 評分高低修復漏洞，無異于隨機揀取漏洞修復。” 該研究還發(fā)現(xiàn)，盡管漏洞的 CVSS 評分似乎與其武器化概率并無關聯(lián)，但有其他因素與之相關，包括：是否存在漏洞利用概念驗證代碼，深網(wǎng)論壇、暗網(wǎng)市場等非法在線社區(qū)是否提到該漏洞利用代碼等。

鑒于絕大多數(shù)通用漏洞與暴露 (CVE) 從未武器化，該研究的結(jié)論具有一定實際意義。高 CVSS 評分的 CVE 只有在惡意黑客能武器化的時候才是真正的威脅。但要武器化漏洞，黑客首先得確定武器化方法，而這通常都需要概念驗證 (POC) 代碼。使用或開發(fā) POC 代碼的過程往往包含大量試錯。若不在深/暗網(wǎng)和其他非法在線社區(qū)中與別的黑客交流，多數(shù)黑客一般是搞不定的。

換句話說，無論 CVSS 評分是高是低，評估漏洞時都需要將是否存在 POC 代碼和相關黑客討論作為重要風險因素加以考量。

3. 風險評估框架

出于修復排序目的的風險評估過程優(yōu)化可以考慮采用評估框架?，F(xiàn)成的風險評估框架有很多，其中一些還是特定監(jiān)管機構(gòu)強制要求或建議采用的，這些現(xiàn)成的框架都能幫助安全團隊更有效地評估、排序和管理不同風險。

但無論采用哪種框架，都需要根據(jù)公司特定環(huán)境和風險因素加以實現(xiàn)。也就是說，你需要統(tǒng)計資產(chǎn)，評估資產(chǎn)被黑的潛在影響， 判斷漏洞武器化概率。無論有沒有應用漏洞風險評估框架，缺了上述信息都無法準確評估漏洞對公司的特定風險。

除此之外，還需謹記：雖然合規(guī)不應是安全項目的最終目標，但各個合規(guī)要求都強調(diào)風險必然是有原因的。有效管理漏洞，尤其是合理排序修復動作，只有基于風險才是可行的。

針對 CVSS 評分的研究報告原文：

https://www.researchgate.net/publication/270697273_Comparing_Vulnerability_Severity_and_Exploits_Using_Case-Control_Studies

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文