网络安全漏洞管理十大度量指标
当前,网络安全漏洞所带来的风险及产生的后果,影响到网络空间乃至现实世界的方方面面,通信、金融、能源、电力、铁路、医院、水务、航空、制造业等行业各类勒索、数据泄露、供应链、钓鱼等网络安全攻击事件层出不穷。因此,加强对漏洞管理的迫切性、重要性日趋突出。
国家层面已经出台相关法律法规、标准规范,通信、金融等行业层面出台监管规定、管理规范,企业层面也正在逐步形成漏洞管理相关制度。同时,各类网络安全技术和产品,如漏洞扫描、资产安全、漏洞管理、暴露面管理、攻击面管理、态势感知、SOC、威胁管理等等系统都包含有漏洞管理相关能力。但实际作用和效果仍有很大进步空间。
运营者层面漏洞管理的理想效果是“所有系统漏洞均应得到及时发现、及时处置”,其底线目标是“系统漏洞不被攻击者利用并产生危害影响”。那么,是否有章可循去达到漏洞管理目标呢?目前全球尚未有成熟的标准或度量体系可供借鉴。 星河安全多年来一直在帮助客户建立漏洞管理能力、输出情报和数据、提供漏洞管理服务,在客户需求、运营管理方面具有深厚积累,根据当前网络安全形势,结合未来最新的技术发展,提出漏洞管理十大度量指标,以期在设计、建设、评价、优化漏洞管理能力方面提供价值。
漏洞管理十大度量指标
漏洞管理十大度量指标分为资产覆盖率、风险资产识别粒度、检测能力完备程度、漏洞数据管理分析能力、优先级(VPT)应用程度、整改措施完备性、关闭漏洞百分比、漏洞重现率、响应时效性、运营管理完备程度等十个指标。
01资产覆盖率
此度量指标主要考察漏洞管理计划中资产覆盖面有无短板。 管理覆盖面:应该确定漏洞管理计划是否覆盖网络空间所有联网资产。除传统IT资产外,行业特有的如工控、物联网等专有资产,新兴技术如云、微服务、容器等,以及开发团队依赖的多个层面的开源组件等。
资产数据标准:资产库并非资产数据堆积,应建立资产数据标准,形成有标准的资产数据库,利于数据交换、数据共享,盘活资产数据。
SBOM技术:应形成软件物料清单SBOM,目前SBOM的主要安全用例是识别软件供应链中的已知漏洞和风险。可通过供应商申报、SAST、SCA等多种功能方式形成清单。SBOM可大幅度避免扫描,提升响应能力。
扫描技术覆盖面:扫描应覆盖所有资产类型和范围,避免形成扫描孤岛,可供选择的扫描技术有DAST、SAST、IAST、SCA等。重要资产可使用多品牌工具交叉扫描。
02 风险资产识别粒度
此度量指标考察对风险资产的识别能力和管理粒度。
已不受厂家支持产品:应识别并重点关注已经结束寿命的老旧系统、组件等。此类产品造成的隐患往往很大,原因或是厂家消失,或是厂家已不再针对该产品发布漏洞补丁、更新程序。 P2P软件:应识别网内运行的P2P软件。P2P软件往往会带来恶意代码安装、数据泄露、易受攻击、拒绝服务、感染病毒等风险。
远程桌面共享:识别并形成远程桌面共享资产清单。避免允许NetBIOS的传入流量(UDP 137和138、TCP 135-139和445)。监测TCP 3389(RDP)服务等。
高危端口和服务:应定义高危端口和服务列表,尤其是对互联网开放的端口和服务,重点关注其关联漏洞。监测允许远程会话的协议的所有公共端口,例如TCP 22(SSH)、TCP 23(Telnet)、TCP 3389(RDP)以及TCP 20和21(FTP)等。
互联网暴露:互联网暴露资产受攻击机率较大,应充分识别互联网暴露资产,建立暴露面资产清单。
03 检测能力完备程度
此度量指标考察漏洞检测能力。以此反映掌握漏洞态势的时效性能力。
检测周期和频率:应针对资产重要程度形成不同的周期性检测的机制,并可用自动化手段落实。
检测场景:应针对不同的检测场景,如资产存活、资产指纹、端口服务、漏洞等场景,或DevSecOps、暴露面监测等场景细化检测手段、检测策略、检测机制等。
时效指标:应形成每个场景的时效性量化指标。如单位资产(如100IP)的漏洞检测时间要在30分钟内完成,全网暴露面资产检测要在2个小时内完成。
04 漏洞数据管理分析能力
此度量考察漏洞数据质量管理、漏洞跟踪分析能力。
多源异构漏洞归一化:应具备漏洞数据标准,在标准化的基础上对多来源数据进归一化,方便统一分析管理,压缩减少漏洞数量。
原始扫描数据清洗过滤:应对扫描原始数据中的非风险、干扰性数据进行清洗过滤,筛选出有价值的漏洞数据,再次减少需要分析处置的漏洞数量。
随时间变化平均漏洞数:统计分析资产、系统、部门、组织整体的漏洞数量(级别、POC/EXP漏洞、关键漏洞)在生命周期过程中变化趋势,体现漏洞处置效果,掌握风险的态势,优化处置措施。
随时间变化新增漏洞数:统计分析新披露漏洞(级别、POC/EXP漏洞、关键漏洞)、增加新资产带来漏洞,优化新增漏洞处置措施。
05 优先级(VPT)应用程度
此度量考察对海量漏洞、关键漏洞风险管理能力。不同组织根据自身能力和管理要求选择不同的优先级方案。
基于漏洞级别:制定基于超危、高、中、低等不同级别的优先级措施,如超危、高危级别漏洞要优先处置。
基于威胁情报关联的可利用漏洞:通过威胁情报关联漏洞,查看漏洞当时是否有POC/EXP。有POC/EXP漏洞可作为高优先级漏洞处置。
基于实战化的关键漏洞列表:基于CISA KEV、VKB关键漏洞列表的实战化漏洞,作为优先处置对象。大型组织中,经过数据清洗过滤、关联POC/EXP后,待处理漏洞仍然是海量的,可把此类漏洞作为关键风险优先处置。
基于多属性决策算法:多属性包括了资产各类属性、漏洞各类属性、情报各类属性、生命周期管理各类属性,可作为 VPT风险计算因子。
06 整改措施完备性
此度量考察漏洞处置、风险控制手段的丰富性及管理能力。
补丁数量:在给定时间范围内应用补丁数量,帮助改进补丁管理策略。
缓解措施数量:使用缓解措施的漏洞数量,条件满足时升级设备或应用更新补丁。
网关防御措施数量或虚拟补丁数量:无法升级或无法及时升级补丁、使用缓解措施情况下,使用IPS、WAF等网关防御措施进行风险缓解的漏洞数量。
07 关闭漏洞百分比
此度量考察成功处置漏洞的结果,体现阶段性漏洞处置成果。
基于漏洞总数:以漏洞总数作为基数,关闭状态漏洞占漏洞总数的百分比。某些行业或企业会以漏洞总数修复率为考核管理要求。
基于漏洞级别:已关闭漏洞级别数量占该漏洞级别总数的百分比。某些行业以超危、高危漏洞的修复率作为漏洞管理人员的考核指标。
基于资产权重:以资产权重作为漏洞修复的前置条件,资产权重作为优先级VPT的计算因子。
SLA或考核指标:基于行业、企业监管或管理要求而关闭的漏洞数量。根据可用的时间和资源评估修复的有效性。
08 响应时效性
此度量考察漏洞响应的及时性。
漏洞捕获时间:从情报、爬虫中获取漏洞信息的时间。
预警时间:组织内发布预警信息的时间。
网内排查时间:漏洞的影响范围,受影响资产定位所需时间。风险越长,受攻击几率越大,风险越高。方式有人工排查、扫描工具扫描、SBOM清单关联等。
处置时间:受影响资产上漏洞的处置的时间,或处置的时间要求。
09 漏洞复现率
此度量考察漏洞修复的成功率。
漏洞复现率:加固措施不到位、补丁没有完全修复等导致漏洞在关闭后重新被检测到。复现率为复现漏洞数量占关闭漏洞数量百分比。
10 运营管理完备程度
此度量考察漏洞管理体系的健全程度,漏洞运营管理能力成熟度。
闭环流程:是否具备生命周期闭环流程管理能力。 专职人员:是否配置专门的人员。 部门协同度:闭环流程中涉及部门的参与、配合程度。包括与上级监管单位、外部漏洞收录组织、情报组织、服务单位的协同。 系统协同度:闭环流程中涉及到的工具、系统、平台间API接口打通、数据共享程度。 运营制度:是否有健全的漏洞管理运营制度。 考核办法:是否有可落实的考核指标和管理办法。
相关文章:
网络安全漏洞管理十大度量指标
当前,网络安全漏洞所带来的风险及产生的后果,影响到网络空间乃至现实世界的方方面面,通信、金融、能源、电力、铁路、医院、水务、航空、制造业等行业各类勒索、数据泄露、供应链、钓鱼等网络安全攻击事件层出不穷。因此,加强对漏…...
Swift Combine 发布者订阅者操作者 从入门到精通二
Combine 系列 Swift Combine 从入门到精通一 1. Combine核心概念 你只需要了解几个核心概念,就能使用好 Combine,但理解它们非常重要。 这些概念中的每一个都通过通用协议反映在框架中,以将概念转化为预期的功能。 这些核心概念是&#x…...
python 笔记:shapely(形状篇)
主要是点(point)、线(linestring)、面(surface) 1 基本方法和属性 object.area 返回对象的面积(浮点数) object.bounds 返回一个(minx, miny, maxx, maxy)元…...
开源的JS动画框架库介绍
开源的JS动画框架库介绍 在现代网页设计中,动画已经成为提升用户体验的重要手段。它们不仅能够吸引用户的注意力,还能够帮助用户更好地理解和导航网站。JavaScript 动画框架库提供了一套丰富的动画效果,让开发者能够轻松地实现复杂的…...
MATLAB实现随机森林回归算法
随机森林回归是一种基于集成学习的机器学习算法,它通过组合多个决策树来进行回归任务。随机森林的基本思想是通过构建多个决策树,并将它们的预测结果进行平均或投票来提高模型的准确性和鲁棒性。 以下是随机森林回归的主要特点和步骤: 决策树…...
时间序列预测——BiGRU模型
时间序列预测——BiGRU模型 时间序列预测是指根据历史数据的模式来预测未来时间点的值或趋势的过程。在深度学习领域,循环神经网络(Recurrent Neural Networks, RNNs)是常用于时间序列预测的模型之一。在RNNs的基础上,GRU&#x…...
django中实现数据库操作
在Django中,数据库操作通常通过Django的ORM(Object-Relational Mapping)来实现。ORM允许你使用Python类来表示数据库表,并可以使用Python语法来查询和操作数据库。 以下是在Django中实现数据库操作的基本步骤: 一&am…...
使用 FFmpeg 将视频转换为 GIF 动画的技巧
使用 FFmpeg 将视频转换为 GIF 动画 FFmpeg 可以将视频转换为 GIF 动画,方法如下: 1. 准备工作 确保您已经安装了 FFmpeg。 熟悉 FFmpeg 的命令行使用。 了解 GIF 动画的基本知识。 2. 基本命令 ffmpeg -i input.mp4 output.gif 3. 参数说明 -i in…...
2024春晚纸牌魔术原理----环形链表的约瑟夫问题
一.题目及剖析 https://www.nowcoder.com/practice/41c399fdb6004b31a6cbb047c641ed8a?tabnote 这道题涉及到数学原理,有一般公式,但我们先不用公式,看看如何用链表模拟出这一过程 二.思路引入 思路很简单,就试创建一个单向循环链表,然后模拟报数,删去对应的节点 三.代码引…...
HCIA-HarmonyOS设备开发认证V2.0-轻量系统内核内存管理-静态内存
目录 一、内存管理二、静态内存2.1、静态内存运行机制2.2、静态内存开发流程2.3、静态内存接口2.4、实例2.5、代码分析(待续...)坚持就有收货 一、内存管理 内存管理模块管理系统的内存资源,它是操作系统的核心模块之一,主要包括…...
什么是vite,如何使用
参考: 主要:由一次业务项目落地 Vite 的经历,我重新理解了 Vite 预构建 vite官方文档 为什么有人说 vite 快,有人却说 vite 慢? 深入理解Vite核心原理 面向未来的前端构建工具-vite 聊一聊 Vite 的预构建和二次预构建 …...
基于大语言模型的AI Agents
代理(Agent)指能自主感知环境并采取行动实现目标的智能体。基于大语言模型(LLM)的 AI Agent 利用 LLM 进行记忆检索、决策推理和行动顺序选择等,把Agent的智能程度提升到了新的高度。LLM驱动的Agent具体是怎么做的呢&a…...
23种设计模式之抽象工厂模式
目录 什么是抽象工厂模式 基本结构 基本实现步骤 实现代码(有注释) 应用场景 简单工厂、工厂方法、抽象工厂的区别 什么是抽象工厂模式 抽象工厂模式也是一种创建型设计模式,提供了一系列相关或相互依赖对象的接口,而无需…...
飞天使-linux操作的一些技巧与知识点9-zabbix6.0 容器之纸飞机告警设置
文章目录 zabbix 告警纸飞机方式webhook 方式 告警设置 zabbix 告警纸飞机方式 第一种方式参考 https://blog.csdn.net/yetugeng/article/details/99682432bash-4.4$ cat telegram.sh #!/bin/bashMSG$1TOKEN"61231432278:AAsdfsdfsdfsdHUxBwPSINc2kfOGhVik" CHAT_I…...
京东组件移动端库的使用 Nut-UI
1.介绍 NutUI NutUI-Vue 组件库,基于 Taro,使用 Vue 技术栈开发小程序应用,开箱即用,帮助研发快速开发用户界面,提升开发效率,改善开发体验。 特性 🚀 80 高质量组件,覆盖移动端主…...
用Python来实现2024年春晚刘谦魔术
简介 这是新春的第一篇,今天早上睡到了自然醒,打开手机刷视频就被刘谦的魔术所吸引,忍不住用编程去模拟一下这个过程。 首先,声明的一点,大年初一不学习,所以这其中涉及的数学原理约瑟夫环大家可以找找其…...
TestNG基础教程
TestNG基础教程 一、常用断言二、执行顺序三、依赖测试四、参数化测试1、通过dataProvider实现2、通过xml配置(这里是直接跑xml) 五、testng.xml常用配置方式1、分组维度控制2、类维度配置3、包维度配置 六、TestNG并发测试1、通过注解来实现2、通过xml来…...
###51单片机学习(1)-----单片机烧录软件的使用,以及如何建立一个工程项目
前言:感谢您的关注哦,我会持续更新编程相关知识,愿您在这里有所收获。如果有任何问题,欢迎沟通交流!期待与您在学习编程的道路上共同进步。 一. 两个主要软件的介绍 1.KeiluVision5软件 Keil uVision5是一款集成开发…...
Android 9.0 任务栏中清除掉播放器的进程,状态栏仍有音乐播放器状态问题的解决
1.概述 在9.0的rom定制化开发中,在点击系统自带的播放器以后,播放音乐的时候,在最近任务栏recents列表中,点击全部清除,发现音乐播放器还在播放音乐,导致出现bug,完整的 解决方法,肯定是需要点击全部清除以后,音乐播放器也被杀掉进程,接下来分析下这个移除任务栏流程…...
【笔记】Helm-5 Chart模板指南-13 调是模版
调试模板 调试模板可能很棘手,因为渲染后的模板发送了kubernetes API server,可能会以格式化以外的原因拒绝YAML文件。 以下命令有助于调试: 1、helm lint 是验证chart是否遵循最佳实践的首选工具。 2、helm template --debug在本地测试渲…...
Gateway反向代理配置
前言 一般而言,反向代理都是在Nginx中来实现的,其实Gateway也可以作为反向代理服务,不过一般不会这么做,只不过最近的项目,在通过Nginx反向代理之后,iPhone手机访问接口代理地址会异常,安卓手机…...
HiveSQL——共同使用ip的用户检测问题【自关联问题】
注:参考文章: SQL 之共同使用ip用户检测问题【自关联问题】-HQL面试题48【拼多多面试题】_hive sql 自关联-CSDN博客文章浏览阅读810次。0 问题描述create table log( uid char(10), ip char(15), time timestamp);insert into log valuesinsert into l…...
猫头虎分享已解决Bug || 修改mongodb3.0副本集用户密码遇到 BeanDefinitionParsingException
博主猫头虎的技术世界 🌟 欢迎来到猫头虎的博客 — 探索技术的无限可能! 专栏链接: 🔗 精选专栏: 《面试题大全》 — 面试准备的宝典!《IDEA开发秘籍》 — 提升你的IDEA技能!《100天精通鸿蒙》 …...
如何将ChatGPT升级到4.0版本?如何充值?
如何将ChatGPT升级到4.0版本? 在人工智能的世界里,每一个升级都可能带来革命性的变革。ChatGPT的4.0版本无疑是当前最炙手可热的话题之一,那么如何进行升级,体验到这一版所带来的全新特性呢?以下是一步一步的指南。 …...
conda 相关命令
创建并激活环境:打开终端,并创建一个新的conda环境,以确保安装的软件与M1芯片兼容。运行以下命令: conda create -n myenv python这将创建一个名为"myenv"的新环境,并安装Python。然后,激活该环境…...
探索现代Web前端开发框架:选择最适合你的工具
在当今快速发展的Web开发领域,前端开发框架的选择显得尤为关键。这些框架可以帮助我们更高效地构建出交互性强、性能卓越的用户界面。本文将带你了解几个当前最受欢迎的Web前端开发框架,并帮助你根据自己的需求选择最合适的工具。 1. React React由Fac…...
记录一下,我使用stm32实现pwm波输入,以及对频率和占空比的计算,同时通过串口输出(实现-重要)
1,首先看下半物理仿真 看下我的配置: 看下计算方法以及matlab的仿真输出的数据: timer3的ch2是选择高电平,计算频率 timer3的ch1是选择的是低电平,用来计算周期 其中TemPIpre表示的是CH2输出的值, TemPI…...
Spring Cloud使用ZooKeeper作为注册中心的示例
简单的Spring Cloud应用程序使用ZooKeeper作为注册中心的示例: 1.新建模块: 2.勾选依赖: 3.在pom.xml文件中做出部分修改及添加Spring Cloud Zookeeper 依赖版本: 完整pom文件 <?xml version"1.0" encoding&q…...
【项目日记(九)】项目整体测试,优化以及缺陷分析
💓博主CSDN主页:杭电码农-NEO💓 ⏩专栏分类:项目日记-高并发内存池⏪ 🚚代码仓库:NEO的学习日记🚚 🌹关注我🫵带你做项目 🔝🔝 开发环境: Visual Studio 2022 项目日…...
JavaScript 设计模式之外观模式
外观模式 我们为啥要使用外观模式呢,其实我们在使用各种 js 库的时候常常会看到很多的外观者模式,也正是这些库的大量使用,所以使得兼容性更广泛,通过外观者模式来封装多个功能,简化底层操作方法 const A {g: functi…...
网站建设企业站有哪些要求/佛山seo技术
1首先第0步,在磁盘的尾巴步压缩出一个大概50G的空间,超大预算,压缩出来的空间在这里不用建立成新分区,待后面备用,图不懂可百度。第一步,当然是下载linux ubuntu14.x的镜像了,这个小伙伴可以百度…...
网站登录验证码是怎么做的/百度指数资讯指数是指什么
https://vjudge.net/problem/CodeForces-1332D 题目大意:假设有一个n∗mn*mn∗m的矩阵,初始位置在(1,1)(1,1)(1,1),score1a11score_1a_{11}score1a11,每次只能向右或向下走,假设走到了位置(x,y)(x,y)(x,y)…...
做视频网站服务器多少钱/东莞网站自动化推广
文章目录1. 一元多项式运算器——建立与输出输入格式:输出格式:输入样例:输出样例:Answer:2. 一元多项式运算器——加法输入格式:输出格式:输入样例:输出样例:Answer:3. 一元多项式运算器——减法输入格式:输出格式:输入样例:Answer:4. 一元多项式运算器——乘法输入格式:输出格…...
运城市网站建设/沈阳网站建设
为什么各大公司那么重视算法呐,在考察员工是否合格时,数据结构,算法尤为看的重要呐,刚开始,我不懂,后来,我懂了 懂了,因为效率,编程的性能的提高需要算法,你编…...
快站建站教程/免费建站网站
本文实例讲述了jquery及js实现动态加载js文件的方法。分享给大家供大家参考,具体如下:问题:如果用jquery append直接加载script标签的话,会报错的。除了document.write外,还有没有其他的比较好的动态加载js文件的方法。…...
商城网站设计实训总结/百度热议
这几天,整个互联网沸腾起来了。 80后创业者张旭豪,白手起家,从一个外卖小哥到赚走马云600亿元,10年做成百亿富翁。 同为80后的胡玮炜,也在短短3年将摩拜做成百亿企业,并被美团王兴收购,套现170亿…...