一项新的研究称,社交媒体可以作为漏洞威胁的有用指标,并可能带来更准确的CVSS评分和优先级。
云计算安全厂商NopSec公司的最新漏洞研究质疑通用安全漏洞评分系统(CVSS)的精确度,并声称社交媒体可以为关键漏洞提供更好的指标。
NopSec公司的《2015年漏洞风险管理状况》报告调查了国家漏洞库中超过20年期间65000多个漏洞。该调查的结论包括,单靠CVSS评分并不足以确定风险情况,并且需要考虑其他因素以建立更好的技术风险评分。
其中一个因素是社交媒体中的回复,特别是Twitter。根据这项研究显示,Twitter是分析漏洞风险和优先排序企业安全相应的非常有用的指标之一。NopSec表示,社交媒体中对漏洞的提及可以有效预测潜在风险。
“我们发现在社交媒体的回复可以表明漏洞的重要性,而不是根据CVSS提供的评分,”NopSec公司首席技术官Michelangelo Sidagni表示,“企业的专业人士如果感觉漏洞很重要,他们会在社交媒体中谈论它。我们想要展示漏洞关键性和社交媒体提及之间的关系,特别是在Twitter。”
如果没有重视社交媒体推文的价值,低到中等CVSS评分的主要漏洞可能不会得到企业安全人员必要的重视。他举了Heartbleed漏洞作为例子,这个去年发现的开源加密漏洞被专家视为他们所见过的最严重的漏洞,而Heartbleed仅得到CVSS 5分,其中10分为满分,这属于“中等”严重性。
但Heartbleed在社交媒体得到广泛关注。NopSec公司的调查发现,他们列为“严重漏洞”的漏洞(例如Heartbleed)在Twitter平均被提到748次。NopSec研究中获得高分数的漏洞平均被提到89次,而中等评分只有8次。
CVSS由事件响应和安全小组论坛(FIRST)维护,最近,对于CVSS评分以及Heartbleed的低评分等问题,该论坛受到广泛的批评和抨击。
根据FIRST的CVSSv3特别兴趣小组负责人Seth Hanford表示,关于该系统的一些问题已经在CVSS版本3中得到解决,该版本于2015年5月28日发布。Hanford表示:“我们从漏洞评分社区收到相当多的反馈称CVSSv2有很多问题需要解决。”
其他供应商也在试图使用或者甚至推出自己的漏洞评分系统,例如2014年的Tripwire,但专家普遍认为漏洞风险评估最好采用标准的方法。
“虽然CVSS是强大的指标,但与所有通用指标一样,它是非具体的,”Nettitude Group公司高级eGRC顾问Ben Rothke表示,“为了获得最佳效果,它需要为使用它的特定实体进行定制化。但现实情况是,大多数企业没有这样做。他们只会简单地使用Rapid7、Qualys和Tenable的信息,而不会根据自己的具体风险和环境进行定制。”
Rothke称,CVSS是个免费和开放的行业标准,它被用作威胁的快速措施,但想要真正有效,它需要对特定公司进行定制化。
Rothke称:“如果企业有一个高CVSS评分的漏洞,而没有漏洞利用,还有另一个较低评分,但有漏洞利用,哪个漏洞需要优先解决?”
Hanford认为每个企业需要根据自己的环境和风险承认能力来分析漏洞和CVSS评分。
“例如,如果微软Windows中有一个漏洞,CVSS可以告诉你它对Windows操作系统有多么危险,但企业需要确定Windows对其的重要性,”Hanford称,“如果Windows是在CEO的办公桌,那么,这要比在其呼叫中心的Windows更加重要。”
同时,NopSec认为Twitter是IT和IT安全人员共享信息的常用社交媒体。虽然该研究并没有确定推文讨论漏洞的具体人员,但该公司发现其漏洞评级与Twitter上提到的次数非常相关。
“这并不是说,我们建议使用它作为风险的唯一标准,”Sidagni表示,“我们的感觉是CVSS评分并不是评测风险的唯一方法,实际上,它并不是很精确的方法。技术风险只属于该漏洞的技术方面,但漏洞的其他方面包括漏洞利用的可用性、恶意软件的存在、社交媒体中漏洞的普及度,以及客户群或客户主机的相关性。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
什么样的社交媒体合规问题在困扰着企业?
Nexgate发布了一份名为《国家社交媒体基础设施第三部分:关于财富100强公司社交媒体的合规性》的报告,从中我们可获取的最大收获是什么?
-
企业该如何解决社交媒体的法规和合规问题(二)
随着时间的推移,社交媒体复杂的合规环境将变得更加复杂。那么,企业应该如何应对这个复杂的局面呢?
-
企业该如何解决社交媒体的法规和合规问题(一)
从社交媒体的普及率来看,我们称其为新生事物似乎听起来有些不合理,但从法律和监管角度来看,这个行业正处于起步阶段,社交媒体引入到企业的复杂性给每个企业都带来了挑战。
-
2012年安全预测
2012年安全界会有怎样的趋势?大型恶意网络继续推动绝大多数攻击?搜索引擎继续成为主要的恶意软件攻击渠道?APT变得个性化?安全无边界?社交媒体入侵传统应用?