先講一下弱點的定義,依據ISO 27005所述
A weakness of an asset or group of assets that can be exploited by one or more threats。
所以主要的點就是在weakness, asset, exploited跟threat。
http://cve.mitre.org/ 也很貼心的幫關心弱點資訊的人定義好了一套叫做CVSS的評估機制。簡單說如下表~
|
Risk Level
|
CVSS Score
|
|
Low
|
0 - 3.9
|
|
Medium
|
4.0 - 6.9
|
|
High
|
7.0 - 10.0
|
這樣針對評估弱點資訊就很一目了然了~
但是雖然有弱點資訊,還是不足夠的。假設是發生在Windows 7上的嚴重弱點,但是你家的PC全部都是Ubuntu。那這樣也只能是個威脅,而不會是個事件。
萬一不幸,把弱點跟資產的資訊一比對,剛剛好match~
那就只能說恭喜惹~接下來就會進入risk assessment的階段,然後開啟事件給相關人員進行處理。
最後經確認修補完畢後關閉該事件。
整個流程大約是這樣~
最後補充一下
在事件open後,其實從patch的取得(修補方式)、測試、patch佈署(弱點修補或補償性措施)及確認都應該有相關的流程,以及適當的管控程序。
最後再回歸到Risk managment把事件關閉。
這樣應該可以符合該控制項目的要求了。
題外話:
CVE原本的格式是CVE-YYYY-NNNN,之後NNNN的部分會視需要展開到5,6甚至到7個digits~ (最晚2015/1/13前生效)
沒有留言:
張貼留言