风险策略

保持环境安全的最大挑战之一是确定漏洞补救的优先级。如果InsightVM每次扫描发现数百甚至数千个漏洞,您如何确定首先要解决哪些漏洞或资产?

每个漏洞都有许多特征,这些特征表明它很容易被利用,以及攻击者在执行利用后可以对您的环境做什么。这些特征构成了漏洞对组织的风险。

每项资产都有与其相关的风险,这取决于它对组织安全的敏感程度。例如,如果包含信用卡号的数据库受损,则对您的组织造成的损害将明显大于打印机服务器受损。

该应用程序提供了几种计算风险的策略。每种策略都强调某些特征,允许您根据组织的独特安全需求或目标来分析风险。您还可以创建自定义策略并将它们与应用程序集成。

选择一个风险的策略后,您可以通过以下方式使用它:

  • 根据风险对Web界面表中漏洞的显示方式进行排序。通过对漏洞进行排序,您可以快速直观地确定哪些漏洞需要立即关注,哪些不太重要。
  • 在报告中查看风险随时间变化的趋势,使您可以跟踪补救工作的进展,或确定在您的网络的不同部分中,风险是否随时间增加或减少。

使用风险策略包括以下活动:

比较危险的策略

每个风险的策略是基于哪些因素如妥协的可能性,妥协的冲击,以及资产重要性的计算公式。每个公式产生不同的数值范围。举例来说,真正的风险策略产生的1000分的最高分,而时间策略有没有上限,一些高风险的脆弱性评分达到十万。这一点很重要要记住,如果你应用不同的风险策略将扫描数据的不同部分。看到改变你的风险战略和重新计算过去的扫描数据

许多可用的风险策略在评估风险时使用相同的因素,每个策略以不同的方式评估和汇总相关因素。常见的风险因素分为三类:脆弱性影响、初始攻击难度和威胁暴露。构成漏洞影响和初始攻击难度的因素是通用漏洞评分系统(CVSS)版本2中采用的六个基本指标。

  • 漏洞影响是在通过漏洞攻击资产时可以对其进行哪些破坏的度量,以及这种破坏的程度。影响由三个因素组成:
    • 机密性的影响指示数据,以未经授权的个人或系统的本发明。
    • 完整性的影响表示未经授权的数据修改。
    • 可用性影响表示无法访问资产的数据。
  • 最初开发难度是通过该漏洞攻击成功的可能性的措施,并包括三个因素:
    • 访问向量指示攻击者需要离资产多近才能利用该漏洞。如果攻击者必须具有本地访问权限,则风险级别较低。较低要求的接近地图的风险较高。
    • 访问的复杂性是基于实施利用的容易程度或困难程度的利用的可能性,既包括所需要的技能,也包括为使利用可行而必须存在的环境。访问复杂性越低,风险就越大。
    • 认证需求是基于攻击者为了利用该漏洞必须进行身份验证的次数而被利用的可能性。所需的身份验证越少,风险就越大。
  • 威胁暴露包括三个变量:
    • 脆弱的年龄是的安全社区是如何早就知道有关漏洞的措施。不再是一个漏洞已经知道存在,更可能威胁社会已经制定利用它的手段,更可能的资产会遇到一个攻击目标的漏洞。旧的漏洞年龄映射到较高的风险。
    • 利用曝光是根据Metasploit框架排名最高的漏洞。这个排名衡量的是一个已知的漏洞对一个脆弱的资产造成损害的容易程度和一致性。利用暴露程度越高,风险越大。
    • 恶意软件的接触是与漏洞相关的任何恶意软件工具包(也称为漏洞攻击工具包)流行程度的度量。开发人员创建此类工具包,使攻击者更容易编写和部署恶意代码,通过相关漏洞攻击目标。

在做出选择之前,查看每个模型的摘要。

真正的风险策略

建议使用此策略,因为您可以使用它对已开发的利用程序或恶意软件工具包的漏洞进行优先级补救。一个安全漏洞可能会使您的环境暴露于一个不成熟的攻击或一个由广泛可访问的恶意软件工具包开发的感染,这可能需要您立即关注。真实风险算法应用独特的利用和恶意软件暴露度量为CVSS的可能性和影响的每个漏洞的基础度量。

实际风险使用CVSSv2指标计算。

具体地,该模型基于所影响的保密性,完整性的影响,以及脆弱性的可用性的影响0和1000之间的最大影响。的影响是由是一个分数大于1总是小于所述似然因子具有基于初始值的似然因子乘以该漏洞的初始利用从CVSS难度的指标:访问向量,访问的复杂性,和认证要求。可能性是由威胁暴露改性:可能性有漏洞的年龄的成熟,随着时间的推移越来越接近1增长。在该可能性的成熟随时间的速率是基于利用曝光和恶意软件曝光。漏洞的风险永远不会成熟超出其CVSS影响指标所规定的最大影响。

真实风险策略可以概括为基础影响,通过妥协的初始可能性进行修正,通过威胁暴露的成熟度随着时间的推移进行修正。最高的真实风险评分是1000分。

TemporalPlus策略

像颞战略,TemporalPlus强调的时间,该漏洞已经知道存在的长度。然而,通过扩大部分的影响向量的风险贡献提供了漏洞的影响更细化的分析。

TemporalPlus风险策略结合访问向量,使用机密性影响、完整性影响和可用性影响,聚合漏洞基于邻近性的影响。利用难度指标(即访问复杂性和身份验证需求)的聚合降低了影响。随着脆弱性年龄的增长,风险随之增加。

TemporalPlus策略没有上限。一些高风险脆弱性分数达到十万分。

这种策略区分风险与源自用的相同的载体“无”冲击值漏洞相关的风险“部分的”冲击值漏洞有关。这是特别重要的是要记住,如果你从时空战略,对待他们同样切换到TemporalPlus。使此开关会增加很多的漏洞风险评分在您的环境中已经检测到。

时间的策略

这一战略强调的时,该漏洞已经知道存在的,所以它可能是为补救优先年长漏洞有用的长度。旧的漏洞被认为是更有可能被利用,因为攻击者已经知道他们的一段较长的时间。此外,不再是一个漏洞一直在存在,更大的是不常用已知漏洞存在的机会。

颞风险战略聚集漏洞的基于近距离的影响,使用保密性的影响,完整性的影响,并与访问向量结合可用性的影响。的影响是通过聚合分割的利用难度的指标,其是接入的复杂性和认证要求回火。那么风险时间长了有漏洞的年龄。

时间策略没有上界。一些高风险的脆弱性得分达到数十万。

加权策略

如果您为站点分配了重要级别,或者您希望评估与运行在目标资产上的服务相关的风险,那么加权策略可能会很有用。该策略主要基于站点重要性、资产数据和漏洞类型,并强调以下因素:

  • 漏洞严重性,即应用程序为每个漏洞计算的从1到10的数字
  • 漏洞实例数
  • 资产上服务的数量和类型;例如,数据库具有更高的业务价值
  • 重要程度,或权重,你分配给一个网站时,你配置它;看到使用动态发现连接配置站点或者入门:信息与安全
  • 加权风险指数与规模漏洞数量。在资产上数字越大,漏洞意味着更高的风险评分。该分数与小数单或双位数字表示。

PCI ASV 2.0风险策略

PCI ASV 2.0风险策略基于支付卡行业数据安全标准(PCI DSS) 2.0版本对每个发现的漏洞进行评分。级别从1(最低级别)到5(最高级别)不等。有了这个模型,核准扫描供应商(ASVs)和其他用户可以根据PCI 2.0评分对漏洞进行排序,并在PCI报告中查看这些评分,从而从PCI角度评估风险。此外,五点严重程度量表为您的组织提供了一种简单的方法,可以一目了然地评估风险。

改变你的风险战略和重新计算过去的扫描数据

您可以选择更改当前的风险策略,以从不同的角度了解环境中的风险。由于进行此更改可能会导致未来扫描显示的风险评分与过去的扫描显著不同,因此您还可以选择重新计算过去扫描数据的风险评分。

这样做可以在一段时间内保持风险跟踪的连续性。如果您正在创建带有风险趋势图的报告,则可以重新计算特定扫描日期范围的分数,以使这些分数与未来扫描的分数一致。这确保了风险趋势报告的连续性。

例如,您可以在12月1日将您的风险策略从暂时风险更改为实际风险,以进行基于暴露的风险分析。您可能希望向组织的管理层证明,在今年第一季度末对补救资源的投资对降低风险产生了积极影响。因此,当您选择Real Risk作为您的策略时,您将希望计算自4月1日以来所有扫描数据的Real Risk得分。

计算时间不同。根据重新计算的扫描数据量,该过程可能需要数小时。不能取消正在进行的重新计算。

您可以执行常规活动,如扫描和报告,同时重新计算正在进行中。然而,如果你运行一个重新计算过程中采用了风险评分的报告,分数可能会出现不一致。该报告可以从以前使用的风险战略,以及来自新选择一个包含分数。

要改变你的风险战略,并重新计算过去的扫描数据,采取以下步骤:

去吧风险策略页面。

  1. 点击管理图标。控制台显示管理页面。
  2. 点击管理全局设置.安全控制台显示全局设置控制板。
  3. 点击风险策略在左侧导航窗格中。安全控制台显示风险策略

选择一个新的风险策略。

  1. 单击屏幕上任何风险策略的箭头风险策略页面查看相关信息。信息包括策略和它的计算因素的描述,该战略的源(内置或自定义),以及多长时间一直在使用,如果它是当前选择的策略。
  2. 单击所需风险策略的单选按钮。
  3. 选择不要重新计算如果您不想为过去的扫描数据重新计算分数。
  4. 点击保存.您可以忽略以下步骤。

可选)查看风险策略的使用历史。

这可以让你看到怎样的风险不同的策略已经被应用到所有的扫描数据。这些信息可以帮助你决定你到底需要多少扫描数据重新计算,以防止在一致性方面的差距风险趋势。这也就是确定为什么风险趋势的数据段出现不一致有用。

  1. 点击使用历史风险策略页面。
  2. 点击当前使用选项卡中风险战略用法框查看当前应用于整个扫描数据集的所有风险策略。注意状态列,这表明是否有计算没有成功完成。这可以帮助您通过再次运行计算解决您的风险趋势数据不一致的部分。
  3. 点击改变审计选项卡查看安装历史中使用风险策略的每一次修改。本节中的表格列出了应用不同风险策略的每个实例、受影响的日期范围以及进行更改的用户。此信息还可用于排除风险趋势不一致的问题或用于其他目的。
  4. (可选)单击导出到CSV图标以将更改审计信息导出为CSV格式,您可以在电子表格中用于内部目的。

重新计算过去扫描数据的风险评分。

  1. 单击要重新计算的扫描数据的日期范围的单选按钮。如果您选择整个历史,因为你的第一次扫描您的所有数据的分数将被重新计算。
  2. 点击保存.控制台显示一个框,指示重新计算完成的百分比。

使用自定义风险策略

您可能希望使用自定义策略计算风险得分,该策略从非常特定于您组织的安全目标的角度分析风险。您可以创建自定义策略并在InsightVM中使用。

每个风险策略都是一个XML文档。它要求RiskModel元素,该元素包含id属性,这是自定义策略的唯一内部标识符。

RiskModel包含以下所需的子元素。

  • 名称:这是策略的名称,它将出现在Web界面的风险策略页面中。数据类型为xs:string。
  • 描述:这是对策略的描述,它将出现在Web界面的Risk Strategies页面中。数据类型为xs:string。
  • 脆弱性风险策略:这个子元素包含策略的数学公式。建议您将内置策略的XML文件作为vulnerable riskstrategy子元素的结构和内容的模型。

自定义风险策略XML文件包含以下结构:

         
1
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
2
3.
主要自定义风险策略
4
<描述>
5
这种自定义风险战略强调了一些重要的因素。
6
> < /描述
7
8
(公式)
9
< / VulnerabilityRiskStrategy >
10.

请确保您的自定义策略XML文件格式良好的,并包含所有必需的元素,以确保应用程序执行的预期。

要在InsightVM中创建自定义风险策略,请执行以下步骤:

  1. 将自定义XML文件复制到目录[installation\u directory]/shared/riskStrategies/custom/global中。
  2. 重新启动安全控制台。

自定义策略显示在列表的顶部风险策略页面。

为风险策略设置出现顺序

要设置为了使风险的策略,添加可选的顺序子元素,如果指定了大于0的数,如下面的例子。指定0将导致战略,最后出现。

         
1
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
2
< RiskModel id = " janes_risk_strategy " >
3.
Jane的自定义风险策略
4
<描述>
5
简的客户风险策略强调对简重要的因素。
6
> < /描述
7
1
8
9
(公式)
10.
< / VulnerabilityRiskStrategy >
11.

要设置的出现顺序:

  1. 打开所需的风险策略XML文件,该文件出现在以下目录之一:
    • 自定义策略:INSTALLATION_DIRECTORY] /共享/ riskStrategies /自定义/全球
    • 对于一个内建的策略:[INSTALLATION_DIRECTORY] /共享/ riskStrategies /内置
  2. 添加订单文件中具有指定数字的子元素,如前一示例中所示。
  3. 保存并关闭文件。
  4. 重新启动安全控制台。

改变风险策略的出现顺序

你可以改变风险策略的顺序风险策略页面。如果您列出了许多策略,并且希望将最常用的列在最前面,那么这将非常有用。要更改订单,可以使用风险策略的XML文件中的可选order元素为每个策略分配订单号。这是一个子元素RiskModel元素。看到使用自定义风险策略

例如:您组织中的三个人创建自定义风险策略:简氏战略风险蒂姆的风险战略,特里的风险策略.您可以指定每个策略的顺序号。您也可以将订单号到内置的风险策略。

结果的出现顺序可能如下:

  • 简氏战略风险(1)
  • 蒂姆的风险战略(2)
  • 特里的风险策略(3)
  • 真正的风险(4)
  • TemporalPlus (5)
  • 时间(6)
  • 加权(7)

每次产品更新时,内置策略的顺序将重置为默认顺序。

自定义策略总是出现在内置策略之上。因此,如果你给自定义策略和内置策略分配相同的数字,或者即使你给内置策略分配较低的数字,自定义策略总是最先出现。

如果您没有为风险策略分配数字,它将出现在其各自组的底部(自定义或内置)。在下面的示例顺序中,一个自定义策略和两个内置策略编号为1。

一个自定义策略和一个内置策略没有编号:

  • 简氏战略风险(1)
  • 蒂姆的风险战略(2)
  • 特里的风险策略(分配无编号)
  • 加权(1)
  • 真正的风险(1)
  • TemporalPlus (2)
  • 时间的(未分配号码)

注意,一个自定义策略,蒂姆的,拥有除两个编号的一个较大的数字,内置策略;但它出现在他们之上。

了解风险评分如何与扫描工作

资产在其状态为之前要经过几个扫描阶段完全的扫描。未经过所有必需扫描阶段的资产的状态为在进行中.InsightVM仅根据资产的数据计算风险评分完全的扫描状态。

如果扫描暂停或停止,应用程序不会使用不具有的资产的结果完全的风险分数的计算状态。例如:10个资产被并行扫描。有七完全的扫描状态;三个不行。扫描停止。风险是根据以下七项资产的结果计算得出的:完全的地位三个人在进行中资产,它使用来自上次完成扫描的数据。

为了确定扫描状态征询扫描日志。看到查看扫描日志