分类管理
分类管理
分类管理是漏洞管理生命周期的第二阶段:检测、分类管理、分析、补救。
分类管理是一个持续的过程,用于评估每个漏洞,以决定哪些需要立即关注,哪些不那么紧急。高风险漏洞与中低风险威胁分开。可能无法或不切实际分析和补救每个漏洞。作为风险管理框架的一部分,分类管理有助于确保资源被应用于最有效的地方。最好经常进行漏洞分类管理,这样每个分类管理周期的漏洞数量就会少且易于管理。
分类管理阶段的目标是确认或驳回每个漏洞。确认的漏洞继续进入分析阶段,而驳回的漏洞则不进入。
使用安全仪表板和漏洞报告中包含的数据来帮助高效和有效地分类管理漏洞。
范围
分类管理阶段的范围是所有尚未分类管理的漏洞。要列出这些漏洞,请在漏洞报告中使用以下过滤标准:
- 状态: 需要分类管理
风险分析
您应该根据风险评估框架进行漏洞分类管理。根据您的行业或地理位置,可能法律上要求遵循某个框架。如果没有,您应该使用一个受尊敬的风险评估框架,例如:
- SANS Institute 漏洞管理框架
- OWASP 威胁和保障矩阵 (TaSM)
通常,针对漏洞投入的时间和精力应与其风险成比例。例如,您的分类管理策略可能是只有关键和高风险的漏洞继续进入分析阶段,而其余的被驳回。您应该根据您的漏洞风险阈值做出这一决定。
在分类管理漏洞后,您应该将其状态更改为:
- 确认: 您已分类管理此漏洞并决定需要分析。
- 驳回: 您已分类管理此漏洞并决定不进行分析。
当您驳回一个漏洞时,必须提供简要评论,说明为何驳回。如果在后续扫描中检测到驳回的漏洞,将忽略它们。漏洞记录是永久的,但您可以随时更改漏洞的状态。
分类管理策略
使用风险评估框架来指导您的漏洞分类管理过程。以下策略也可能有所帮助。
优先处理重大风险的漏洞
根据风险优先处理漏洞。
- 使用 漏洞优先级评估器 CI/CD 组件来帮助优先处理漏洞。例如,CISA 已知被利用漏洞 (KEV) 目录中的漏洞应被分析和补救为最高优先级,因为这些已知被利用。
- 对于每个群组,进入 安全仪表板 并查看 项目安全状态 面板。该面板将项目按其最高严重性漏洞分组。使用此分组优先处理每个项目中的漏洞分类管理。
- 优先处理您最高优先级项目中的漏洞分类管理 - 例如,部署给客户的应用程序。
- 对于每个项目,查看漏洞报告。按严重性分组漏洞,并将所有关键和高严重性漏洞的状态更改为“确认”。
驳回低风险漏洞
为了确保您关注正确的漏洞,可以批量分类管理那些低风险的漏洞。
- 有时漏洞被检测到,但在后续 CI/CD 流水线中不再检测到。在这种情况下,漏洞活动标记为 不再检测到。您可以选择驳回这些严重性为 低 或 信息 的漏洞。在漏洞报告中,使用过滤标准 活动:不再检测到,然后批量驳回它们。您还可以通过使用漏洞管理策略来自动执行此操作。
- 根据标识符驳回漏洞。如果一个漏洞通过应用层外的控制得到缓解,您可以选择驳回它们。在漏洞报告中,使用 标识符 过滤器选择所有匹配特定标识符的漏洞,然后批量驳回它们。