其中“基于风险的弱点管理项目”,是在2018年被正式提出,在2018和2019年被称为“符合CARTA方法论的弱点管理项目”,在2020年被更新为现在的更适合的名称。
Vulnerability在此处表达的是“弱点”,而非“漏洞”,是因为弱点包含漏洞,也包含其他能引起业务风险的方面,比如配置不安全、信息泄露等。另外,弱点管理也并不仅仅是检测和发现弱点,比如漏洞扫描、渗透测试、配置核查等都仅属于发现弱点,而此处的“管理”,更多的是需要针对弱点进行发现和评估、并进行处置优先级排序,以及弱点补偿控制等一些列形成闭环的工作。
Gartner在2020年提出以VPT(弱点优先级技术),用于替换和升级TVM(威胁和弱点管理)。这也是“基于风险的弱点管理项目”的核心技术和工具,本项目需要以VPT将弱点的发现、评估、优先级排序、工作流程、处置方式和效果、自动化措施等串行在一起,形成整个风险管理的闭环和迭代提升。
弱点管理是安全运营的基本组成部分。补丁从来都不能等同对待,应该通过基于风险优先级的管理方式,找到优先需要处理的弱点并进行补偿性管理,从而显著降低风险。
从漏洞的角度来说,现实已经表明,漏洞太多了,层出不穷,如果每个重要的漏洞都要去处理,是不现实的,应该首先聚焦在可被利用的漏洞上。进一步讲,你如何知道一个漏洞是否已经可被利用?这时候就需要漏洞情报,不是关于漏洞自身的情况,而是关于漏洞利用(EXP)和漏洞证明(POC)的情报。
通过《X-Force威胁情报指数2020》的显示,真实的网络攻击有90%来自于钓鱼攻击、漏洞攻击、弱口令和非授权攻击。其中漏洞攻击占到大约30%左右。
作为基于风险的弱点管理项目的核心技术VPT,应该关注与对造成最主要的威胁的弱点进行采集,并且结合系统重要程度、威胁利用难易程度和紧急情况等,进行优先级分配和处理,结合经验和流程尽量形成自动化处置(包括但不限于打补丁、缓解、转移、接受等),并对处置结果和效果进行验证和评判。
零零信安VPT产品,正是针对弱点优先级项目和解决该类问题研发的安全风险管理产品,其强大和丰富的弱点优先级管理能力,能够帮助企业立竿见影的管理最紧迫和最棘手的安全威胁。
完善的漏洞统计与处置状态分析:
详细的漏洞信息,便捷的漏洞处置操作:
来源:freebuf.com 2021-07-21 15:49:04 by: bj00sec
请登录后发表评论
注册