漏洞修复中的难点
保护您的云上资产安全最重要的环节包括对漏洞修复进行优先级评定。如果您拥有的资产数量较多,您会在控制台看到多个漏洞,您将需要考虑优先修复哪些漏洞。为了解决这个问题,我们提供了一套新颖的评价标准来为您有序地修复漏洞提供参考。
漏洞修复建议分数判定级别说明
- 修复紧急度高
漏洞修复建议参考分在13.5-15之间。
- 修复紧急度中
漏洞修复建议参考分在7.1-13.5之间。
- 修复紧急度低
漏洞修复建议参考分在7以下。
Linux软件漏洞和Windows系统漏洞修复建议参考分计算方法
最终风险得分 = 漏洞的CVSS得分 * 时间因子 * 用户实际环境因子 * 资产重要性因子
说明 应急漏洞和WebCMS漏洞均为经工程师反复确认的高危漏洞,所以统一建议您尽快修复。以下计算方式均只针对Linux软件漏洞和Windows系统/应用漏洞。
- 在计算漏洞修复建议得分的过程中,新发现一个漏洞到控制台提供修复建议大约有1天的延迟。
- 漏洞刚被公布时,官方可能没有给出CVSS基础分,这一部分漏洞的修复建议将会延迟到官方给出CVSS分后一天才能为您显示。
- 由于您的Agent离线等其他网络异常问题也可能导致环境因子无法计算,此时您需要等待网络环境恢复正常后一天才能看到修复建议。
软件漏洞的CVSS基础分
这个因子来源于该漏洞的CVSS V2和V3基础分。
影响漏洞带来风险的时间因素
时间因子是为了弥补CVSS分的不足,综合了漏洞缓解措施被部署的时间延迟,和漏洞利用方法的普及因素的一条动态变化曲线。
在漏洞公开的前三天,由于曝光率的增加,该漏洞被利用的几率会急剧增加,时间因子将会达到短暂的峰值,随后急剧下降。 随着时间的推移,对漏洞成熟的利用手段将越来越多,漏洞实际利用难度在下降,时间因子将在100天之内逐渐趋近于1。
您的实际环境
您的实际环境对判断漏洞真实至关重要,我们对该漏洞利用所需的条件和您服务器的情况进行综合考虑,得出一个风险乘数。
当前纳入参考的环境因素有:
- 您的服务器是否有对公网的流量。
如果是,且漏洞属于一个可以远程利用的漏洞,我们对环境因子进行1.5倍的加权;如果漏洞属于一个可邻网利用的漏洞,我们对环境因子进行1.2倍的加权;如果这个漏洞属于本地利用,我们不做加权;同时我们对某些需要云上难以复现的环境来利用的漏洞做环境因子大幅降权。
- 您的机器是否只有内网的流量。
如果是,且漏洞属于一个可以远程利用的漏洞,我们对环境因子进行大幅降权(设0);如果漏洞属于一个可邻网利用的漏洞,我们对环境因子进行1.2倍的加权;如果这个漏洞属于本地利用,我们不做加权;同时我们对某些需要云上难以复现的环境来利用的漏洞做环境因子大幅降权。
您的资产重要性
当您资产数量很多时,可以为不同的服务器/资产赋予您使用场景下的重要性分值,我们将把您自定义的分值纳入漏洞修复建议分的计算当中,为您有序修复漏洞提供有价值的参考。
说明 资产重要性因子当前为 1。
特殊情况下的修复建议
- 当一个漏洞刚被扫描出来时,由于需要参照您的环境对参考分值进行加权,我们需要48小时的时间来评估修复建议,在这段时间内,漏洞的修复建议将按照漏洞本身的严重等级来给出:
- 严重漏洞: 建议立即修复
- 高危漏洞:可延后修复
- 中危漏洞:可延后修复
- 低危漏洞:暂可不修复
- 当由于网络抖动等原因我们无法获取该漏洞的环境因子时,该漏洞修复建议将统一为暂可不修复。