风险策略
保持环境安全的最大挑战之一是确定漏洞补救的优先级。如果每次扫描都发现数百甚至数千个漏洞,您如何确定要首先解决哪些漏洞或资产?
每个漏洞都有许多特征,这些特征表明它很容易被利用,以及攻击者在执行利用后可以对您的环境做什么。这些特征构成了漏洞对组织的风险。
每个资产都有与之相关的风险,这取决于它对组织安全的敏感性。例如,如果包含信用卡号码的数据库遭到破坏,那么对组织的损害将比打印机服务器受到破坏大得多。
该应用程序提供了几种计算风险的策略。每种策略都强调某些特征,允许您根据组织的独特安全需求或目标来分析风险。您还可以创建自定义策略并将它们与应用程序集成。
选择风险策略后,你可以以以下方式使用它:
- 根据风险对Web界面表中出现的漏洞进行排序。通过对漏洞进行排序,您可以快速直观地确定哪些漏洞需要立即关注,哪些不那么重要。
- 在报告中查看风险随时间变化的趋势,使您可以跟踪补救工作的进展,或确定在您的网络的不同部分中,风险是否随时间增加或减少。
使用风险策略包括以下活动:
比较风险策略
每个风险策略都基于一个公式,其中的因素,如妥协的可能性,妥协的影响,和资产的重要性被计算。每个公式产生不同范围的数值。例如,Real Risk策略产生的最大得分为1000,而Temporal策略没有上限,一些高风险漏洞得分达到数十万。如果您对不同的扫描数据段应用不同的风险策略,请务必记住这一点。看到更改风险策略并重新计算过去的扫描数据.
许多可用的风险策略在评估风险时使用相同的因素,每个策略以不同的方式评估和聚集相关因素。常见的风险因素分为三类:漏洞影响、初始利用困难和威胁暴露。构成漏洞影响和初始利用难度的因素是通用漏洞评分系统(CVSS)版本2中使用的六个基本度量。
- 漏洞影响是在通过漏洞攻击资产时可以对其进行哪些破坏的度量,以及这种破坏的程度。影响由三个因素组成:
- 机密性的影响指示未经授权的个人或系统的数据披露。
- 完整性的影响表示未经授权的数据修改。
- 可用性影响表示无法访问资产的数据。
- 初始漏洞难度是通过漏洞成功攻击的可能性的衡量标准,并且由三个因素组成:
- 访问向量指示攻击者需要离资产多近才能利用该漏洞。如果攻击者必须具有本地访问权限,则风险级别较低。较低要求的接近地图的风险较高。
- 访问的复杂性是基于实施利用的容易程度或困难程度的利用的可能性,既包括所需要的技能,也包括为使利用可行而必须存在的环境。访问复杂性越低,风险就越大。
- 身份验证需求是基于攻击者为了利用该漏洞必须进行身份验证的次数而被利用的可能性。所需的身份验证越少,风险就越大。
- 威胁暴露包括三个变量:
- 脆弱的年龄是安全团体了解该漏洞多长时间的度量。一个漏洞存在的时间越长,威胁团体就越有可能设计出利用它的方法,而且资产更有可能遭遇针对该漏洞的攻击。较早的脆弱性年龄映射出较高的风险。
- 漏洞曝光是根据Metasploit框架排名最高的漏洞。这个排名衡量的是一个已知的漏洞对一个脆弱的资产造成损害的容易程度和一致性。利用暴露程度越高,风险越大。
- 恶意软件的接触是一个衡量任何与漏洞相关的恶意软件工具包(也被称为exploit工具包)流行程度的指标。开发人员创建这样的工具包,使攻击者更容易编写和部署恶意代码,通过相关漏洞攻击目标。
在做出选择之前,查看每个模型的摘要。
真正的风险战略
建议使用此策略,因为您可以使用它对已开发的利用程序或恶意软件工具包的漏洞进行优先级补救。一个安全漏洞可能会使您的环境暴露于一个不成熟的攻击或一个由广泛可访问的恶意软件工具包开发的感染,这可能需要您立即关注。真实风险算法应用独特的利用和恶意软件暴露度量为CVSS的可能性和影响的每个漏洞的基础度量。
实际风险是使用CVSSv2度量来计算的。
具体而言,该模型根据机密性影响,完整性影响和漏洞的可用性影响,计算0到1,000之间的最大影响。影响乘以似然因子,这是一小部分总是小于1.似然因子具有初始值,该初始值是基于来自CVSS的漏洞的初始漏洞难度:访问向量,访问复杂性和认证要求。通过威胁曝光修改可能性:漏洞年龄的可能性成熟,随着时间的推移,越来越越来越近1。似然时间随着时间的推移而达到的速度是基于利用曝光和恶意软件曝光。漏洞的风险将永远不会成熟,超出其CVSS影响指标决定的最大影响。
真实风险策略可以概括为基础影响,通过妥协的初始可能性进行修正,通过威胁暴露的成熟度随着时间的推移进行修正。最高的真实风险评分是1000分。
临时普通战略
与时间策略一样,TemporalPlus强调了已知漏洞存在的时间长度。然而,它通过扩大部分影响向量的风险贡献来提供对脆弱性影响的更粒度分析。
TemporalPlus风险策略将机密性影响、完整性影响和可用性影响与访问向量结合起来,综合了基于邻近性的漏洞影响。利用难度指标(即访问复杂性和身份验证需求)的聚合可以缓和这种影响。风险随着年龄的增长而增长。
TemporalPlus策略没有上限。一些高风险的脆弱性得分达到数十万。
该策略区分与漏洞相关的风险与与漏洞相关的风险与“无”影响相同载体的影响。如果您从时间策略从时间策略切换到Quantalplus,这尤为重要,这同样对待它们。制作此开关将增加在您的环境中已检测到的许多漏洞的风险分数。
时间的策略
该策略强调了已知存在漏洞存在的时间的长度,因此可以对优先考虑较旧的漏洞进行修复。较旧的漏洞被视为希望被剥削的可能性,因为攻击者已经知道了更长的一段时间。此外,漏洞越长,存在较少的普遍已知的利用的可能性越长。
临时风险策略将机密性影响、完整性影响和可用性影响与访问向量结合起来,综合了基于邻近性的漏洞影响。通过划分利用难度指标(即访问复杂性和身份验证需求)的集合来缓和影响。风险随着年龄的增长而增长。
时间策略没有上界。一些高风险的脆弱性得分达到数十万。
加权策略
如果您为站点分配了重要级别,或者您希望评估与运行在目标资产上的服务相关的风险,那么加权策略可能会很有用。该策略主要基于站点重要性、资产数据和漏洞类型,并强调以下因素:
- 漏洞严重性,是应用程序为每个漏洞计算的数字,范围从1到10
- 漏洞实例数
- 资产上服务的数量和类型;例如,数据库具有更高的业务价值
- 重要程度,或权重,你分配给一个网站时,你配置它;看到使用动态发现连接配置站点或入门:信息和安全.
- 加权风险评分量表与漏洞的数量。资产上的漏洞数量越多,风险评分就越高。分数用小数表示为一位数或两位数。
PCI ASV 2.0风险策略
PCI ASV 2.0风险策略基于支付卡行业数据安全标准(PCI DSS) 2.0版本对每个发现的漏洞进行评分。级别从1(最低级别)到5(最高级别)不等。有了这个模型,核准扫描供应商(ASVs)和其他用户可以根据PCI 2.0评分对漏洞进行排序,并在PCI报告中查看这些评分,从而从PCI角度评估风险。此外,五点严重程度量表为您的组织提供了一种简单的方法,可以一目了然地评估风险。
更改风险策略并重新计算过去的扫描数据
您可以选择更改当前的风险策略,以从不同的角度了解环境中的风险。由于进行此更改可能会导致未来扫描显示的风险评分与过去的扫描显著不同,因此您还可以选择重新计算过去扫描数据的风险评分。
这样做可以在一段时间内保持风险跟踪的连续性。如果您正在创建带有风险趋势图的报告,则可以重新计算特定扫描日期范围的分数,以使这些分数与未来扫描的分数一致。这确保了风险趋势报告的连续性。
例如,您可以在12月1日将您的风险策略从暂时风险更改为实际风险,以进行基于暴露的风险分析。您可能希望向组织的管理层证明,在今年第一季度末对补救资源的投资对降低风险产生了积极影响。因此,当您选择Real Risk作为您的策略时,您将希望计算自4月1日以来所有扫描数据的Real Risk得分。
计算时间不同。根据重新计算的扫描数据量,该过程可能需要数小时。不能取消正在进行的重新计算。
您可以执行常规活动,例如在进行重新计算时进行扫描和报告。但是,如果在重新计算期间运行包含风险评分的报告,评分可能会显示不一致。该报告可以包括以前使用的风险策略以及新选择的风险策略的得分。
要更改风险策略并重新计算过去的扫描数据,请执行以下步骤:
去风险策略页面。
- 单击政府图标。控制台显示政府页面。
- 点击管理为全局设置.安全控制台显示全局设置控制板。
- 点击风险战略在左侧导航窗格中。安全控制台显示风险策略页面
选择一个新的风险策略。
- 上的任何风险策略单击箭头风险策略页以查看有关它的信息。信息包括对策略及其计算因素的描述,策略的来源(内置的或自定义的),以及如果它是当前选择的策略,它已经使用了多长时间。
- 单击所需风险策略的单选按钮。
- 选择不重新计算如果您不想为过去的扫描数据重新计算分数。
- 点击保存.您可以忽略以下步骤。
(可选)查看风险战略使用历史记录。
这可以让您看到不同的风险策略是如何应用于所有扫描数据的。这些信息可以帮助您准确地确定需要重新计算多少扫描数据,以防止风险趋势的一致性存在差距。它也有助于确定为什么各部分风险趋势数据显示不一致。
- 点击使用历史在风险策略页面。
- 单击当前使用情况选项卡中风险战略使用框以查看当前应用于整个扫描数据集的所有风险策略。注意状态列,指示任何计算是否未成功完成。这可以通过再次运行计算来帮助您解决风险趋势数据中的不一致部分。
- 单击改变审计选项卡查看安装历史中使用风险策略的每一次修改。本节中的表格列出了应用不同风险策略的每个实例、受影响的日期范围以及进行更改的用户。此信息还可用于排除风险趋势不一致的问题或用于其他目的。
- (可选)单击导出到CSV图标以将更改审计信息导出为CSV格式,您可以在电子表格中用于内部目的。
重新计算过去扫描数据的风险评分。
- 单击要重新计算的扫描数据的日期范围的单选按钮。如果您选择整个历史,自从您的第一次扫描将重新计算以来所有数据的分数。
- 点击保存.控制台显示一个框,指示重新计算完成的百分比。
使用自定义风险策略
您可能希望计算具有自定义策略的风险分数,这些策略分析了对您组织的安全目标非常具体的透视图的风险。您可以创建自定义策略并在Nexpose中使用它。
每个风险策略都是一个XML文档。它要求RiskModel元素,该元素包含id属性,这是自定义策略的唯一内部标识符。
RiskModel包含以下必需的子元素。
- 名称:这是策略的名称,因为它将出现在Web界面的Risk Strategies页面中。数据类型为xs:string。
- 描述:这是对策略的描述,它将出现在Web界面的Risk Strategies页面中。数据类型为xs:string。
- VulnerabilityRiskStrategy:这个子元素包含策略的数学公式。建议您将内置策略的XML文件作为vulnerable riskstrategy子元素的结构和内容的模型。
自定义风险策略XML文件包含以下结构:
1<?xml version="1.0" encoding="UTF-8" standalone="yes"?>2< RiskModel id = " custom_risk_strategy " >3.主要自定义风险策略 4<描述>5这种定制风险战略强调了许多重要因素。6> < /描述7< VulnerabilityRiskStrategy >8(公式)9< / VulnerabilityRiskStrategy >10.< / RiskModel >
确保您的自定义策略XML文件是良好的,并包含所有必需的元素,以确保应用程序按预期执行。
要在exposure中提供自定义风险策略,请执行以下步骤:
- 复制您的定制XML文件到目录[installation_directory]/shared/riskStrategies/custom/global。
- 重新启动安全控制台。
控件上的列表顶部显示自定义策略风险策略页面。
为风险策略设置出现顺序
要为风险策略设置顺序,请在以下示例中添加指定数量大于0的可选订单子元素。指定0将导致策略持续。
1<?xml version="1.0" encoding="UTF-8" standalone="yes"?>2< RiskModel id = " janes_risk_strategy " >3.Jane的自定义风险策略 4<描述>5简的客户风险策略强调对简重要的因素。6> < /描述7<订单> 1 > < /订单8< VulnerabilityRiskStrategy >9(公式)10.< / VulnerabilityRiskStrategy >11.< / RiskModel >
设置外观顺序:
- 打开所需的风险策略XML文件,该文件出现在以下目录之一:
- 对于自定义策略:[installation_directory]/shared/riskStrategies/custom/global
- 对于内置策略:[installation_directory]/shared/riskStrategies/builtin
- 添加订单子元素,其中包含指定的数字,如前面的示例所示。
- 保存并关闭文件。
- 重新启动安全控制台。
改变风险策略的外观顺序
你可以改变风险策略的顺序风险策略页面。如果您列出了许多策略,并且希望将最常用的列在最前面,那么这将非常有用。要更改订单,可以使用风险策略的XML文件中的可选order元素为每个策略分配订单号。这是一个子元素RiskModel元素。看到使用自定义风险策略.
例如:您组织中的三个人创建自定义风险策略:简的风险战略,蒂姆的风险战略,特里的风险战略.您可以为每个策略分配一个订单号。您还可以将订单号分配给内置的风险策略。
结果的出现顺序可能如下:
- 简的风险战略(1)
- 蒂姆的风险战略(2)
- 特里的风险战略(3)
- 真正的风险(4)
- TemporalPlus (5)
- 时间(6)
- 加权(7)
内置策略的顺序将在每次产品更新时重置为默认顺序。
自定义策略总是出现在内置策略之上。因此,如果你给自定义策略和内置策略分配相同的数字,或者即使你给内置策略分配较低的数字,自定义策略总是最先出现。
如果您没有为风险策略分配数字,它将出现在其各自组的底部(自定义或内置)。在下面的示例顺序中,一个自定义策略和两个内置策略编号为1。
一个自定义策略和一个内置策略没有编号:
- 简的风险战略(1)
- 蒂姆的风险战略(2)
- 特里的风险战略(没有分配的号码)
- 加权(1)
- 真正的风险(1)
- TemporalPlus (2)
- 时间(无编号)
注意,一个自定义策略,蒂姆的,有一个比两个数字高的内置策略;然而它却出现在他们的上方。
了解风险评分与扫描的风险程度如何
资产在其状态为之前要经过几个扫描阶段完全的扫描。未经过所有必需扫描阶段的资产的状态为在进行中.exposure仅根据资产的数据计算风险评分完全的扫描状态。
如果扫描暂停或停止,应用程序不会使用不具有的资产的结果完全的风险评分计算的状态。例如:并行扫描10个资产。七有完全的扫描状态;三个不。停止扫描。风险是根据7种资产的结果计算的完全的的地位。三在进行中资产,它使用来自上次完成扫描的数据。
要确定扫描状态,请参考扫描日志。看到查看扫描日志.