择需修复,带入资产业务价值维度判定漏洞修复优先级
发布时间:2021-11-11 09:24:51 所属栏目:安全 来源:互联网
导读:在过去的10年里,每年新增的漏洞数量都在增长,丝毫未见衰减的趋势。网络安全行业权威的CVE漏洞库报告显示,目前累计已披露的漏洞数量已经达到了15万之多。在可预见的未来5-10年内,IT和安全部门不得不面临的一个现实是:漏洞数量多且带来的风险将会长期存
|
在过去的10年里,每年新增的漏洞数量都在增长,丝毫未见衰减的趋势。网络安全行业权威的CVE漏洞库报告显示,目前累计已披露的漏洞数量已经达到了15万之多。在可预见的未来5-10年内,IT和安全部门不得不面临的一个现实是:漏洞数量多且带来的风险将会长期存在,无法将巨大的资源投入到漏洞修复里来,需要以“择需”的视角引入漏洞的评判标准。 那么,在有限的安全资源投入情况下,判定漏洞修复的优先级就变成了一个需要慎重考虑的问题。我们如何识别哪些漏洞需要优先修复? 究竟需要从哪些维度,以什么计量单位来计算漏洞的修复优先级? 安全行业权威的漏洞优先级评估框架:CVSS 安全行业内通用的做法是参考或者直接使用漏洞的CVSS分值,通过CVSS分值来确定漏洞修复的优先级。在CVSS 3.0版本中,漏洞的CVSS值取决于三个重要的维度: •基本属性(Base) • 时间(Temporal) • 环境(Environmental) 通过综合计算这三个属性值,最后得出最终分数。在这三个属性中,基本属性(Base)通常由漏洞的可利用性和后果严重程度来决定,不会随时间或者外界因素而变化。时间(Temporal)属性通常会增加漏洞的暴露范围和潜在可利用性。而环境(Environmental)则根据漏洞所处的资产环境进行判定。 (编辑:大连站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐