网络安全风险量化(CRQ)的正确打开姿势

网络安全风险量化(CRQ)是当下网络安全行业最热门的话题之一,因为当今的网络安全环境需要敏捷和数据驱动的网络风险管理方法。

虽然名字听上去很高大上,但CRQ本质上只是标记环境网络风险级别的一种标签。无论你选择哪种CRQ计算模型,都必须根据自己的需求和环境对其进行定制。

CRQ不但可用于确定修复已发现漏洞的优先级,还可以确定是否需要实施额外的安全控制(增加网络安全预算)。因此,CRQ或CRQM(网络安全风险量化管理)可以帮助CISO与董事会成员、首席执行官和首席财务官进行更有成效的沟通。

优先修复发现的漏洞

大多数CRQ公式使用CVE CVSS分数作为判定漏洞修复优先级的基础。提交CVE的人员通常会考虑多个因素,例如攻击向量、复杂性以及对CIA三元模型的影响,还会根据时间指标对CVE进行更新。但是,这些(修改后的)基本指标在安全业界从未真正流行,因为CVE提交人员并不知道你采取了哪些防御措施。

作为企业安全防御者,你面临的第一个挑战是开发一个漏洞管理程序。这听起来很简单,但魔鬼在细节中。尤其是当你的环境中有OT工控网络设备时。OT设备无法处理简单的漏洞扫描,很容易跳闸并进入错误模式,这可能会导致生产中断。物联网(IoT)设备也面临同样的问题。

为了克服这些挑战,需要在网络设计时将这些更易受攻击的设备放在单独的VLAN中,并使用更专业的漏洞扫描/检测软件来检测这些VLAN中的漏洞。

一旦你解决了漏洞扫描的技术挑战,接下来需要设置一个流程确保能及时处理每个检测到的漏洞。

大多数漏洞管理计划面临的问题或者说挑战在于:在确定修复工作的优先级时,没有考虑资产价值。而这,正是CRQ可以发挥价值的地方。

CRQ公式的关键要素之一应该是资产权重/严重性/价值。但问题是,应该基于资产、应用程序还是数据?如果在同一个资产上运行不同的应用程序会怎样?

在大多数环境中,应用程序需要一台或多台服务器,并且该应用程序可能依赖于其他应用程序。这些依赖项也必须在某处正确记录(最好在CMDB中)。在开发CRQ公式时必须考虑到这一点。

你很可能已经实施了多种安全控制措施来预防威胁降低风险,例如防火墙、IPS解决方案、反恶意软件等。这些安全产品本身也需要添加到CRQ公式中的一个组件,但相比其他资产,这是一个更棘手的问题。

防火墙和IPS解决方案通常是基于网络的解决方案。在大多数环境中,应用基于主机的防火墙和基于主机的IPS解决方案仍然不是标准做法。

即便你拥有最先进的IPS解决方案,也只有在网络流量通过IPS解决方案时才能发挥作用。这些解决方案通常部署在流量从一个网段路由到另一个网段的地方。换句话说,在同一网段内,这些解决方案效率较低。因此,你可能还需要为这些方案(资产)本身部署这些解决方案,但这并不总是可行的。

企业IT和网络安全政策通常会要求以多快的速度修复已发现的漏洞。这部分内容通常会强调“先外后高”,对外暴露的优先,然后是CVSS分数高的优先,但这是正确的方法吗?

防御者应该多想想对手最有可能首先攻击的地方,根据“攻击优先级”来制订漏洞修复优先级。然后,再在网络内部确定优先级,这也是CRQ公式发挥作用的地方:根据CRQ公式的结果,优先处理具有最高CRQ值的资产。

一个可行的CRQ公式

要计算CRQ基值,首先需要收集所有发现的漏洞。确保对于每个发现的漏洞你都有基础指标和时间指标,这会让计算基础CRQ值变得相对简单。

如果时间指标已知,则CRQ基础值是时间指标的值,否则CRQ基础值是基础度量的值。

以下部分是为了确保您将实施的安全控制考虑在内:

如果发现的漏洞受到网络安全控制的保护,则可以通过将CRQ基值乘以值X来计算基于网络的CRQ值。如果发现的漏洞受到基于主机的安全控制保护,则可以通过将CRQ基值乘以值X来计算基于主机的CRQ值。

已知漏洞总是需要修复,因此你不能将CRQ基值乘以0。较为复杂的是确定值X,因为你拥有的安全控制越多,确定值X的难度就越大。

示例:

你在你的一个公共网站上发现了Log4J漏洞。根据NVD数据库,CVE Base指标为9.0。没有可用的时间指标。因此,CRQ基值为9.0。该站点应用程序仅受网络防火墙和网络IPS解决方案的保护。

除非您阻止整个网站,否则防火墙本身不会提供任何保护。但是,如果您正确应用了零信任架构,那么防火墙确实能提供一定程度的保护。在本示例中,用户未正确应用零信任架构。

只有配置正确的IPS解决方案才可以发挥保护作用。因此,不能想当然以为只要部署了IPS解决方案,它会自动保护你。你需要定期查看IPS解决方案以了解它提供的保护级别。在Log4J漏洞利用公布后,IPS解决方案并没有立刻提供任何针对Log4J漏洞的保护。不过,大多数主流IPS解决方案供应商都在漏洞利用发布24小时内发布了产品更新。

在漏洞发现的第0天,你可以将CRQ基值乘以1来计算基于网络的CRQ值(没有任何可用补丁的情况)。在安全供应商更新他们的产品并实施更新时,可以将CRQ基值乘以值X重新计算基于网络的CRQ值,其中X小于1,因为配置并启用了所需的保护。

但是,由于资产依赖基于网络的保护,因此只有在网络流量通过网络安全控制时才会受到保护。在同一网络区域内,这些安全控制不提供任何形式的保护。也就是说,区域内CRQ主机值等于网络CRQ值。区域间CRQ主机值可以通过将CRQ基值乘以1来计算,因为没有实施基于主机的安全控制。

要计算最终的CRQ基值,你需要将CRQ基值乘以CRQ网络值乘以CRQ主机值。如果需要考虑资产重要性,你还可以将最终的CRQ基值乘以资产权重值。

用CRQ确定是否需要额外安全控制(预算)

应用程序以及企业IT/OT网络环境中的每个资产,都服务于一个或多个业务功能。如果应用程序不可用,这些业务功能就会中断,并可能导致生产损失和/或停机。当生产损失和停机时间以财务量化时,首先应该根据“数额优先”原则进行详细的风险分析,来确定是否可使用CRQ减少生产损失/停机时间。

此类CRQ公式相对简单:

生产损失/停机时间造成的损失乘以Y值。如果没有适当的保护控制(补丁),则Y值为1,否则Y值可以更低。

这种方法需要业务和安全部门之间经常沟通,以确定业务的痛点。至关重要的一点是,企业各部门应该对“痛点”保持开放的态度和透明度。同样需要牢记的一点是,网络安全部门可以以非技术方式进行这种沟通。

通过与业务部门的有效沟通,网络安全部门可以评估当前架构和实施的安全控制是否足以降低Y值,或者是否需要增加额外的安全控制(预算)。

前一篇2022年中国网络安全行业《威胁情报产品及服务购买决策参考》发布
后一篇周刊 | 网安大事回顾(2022.10.17—2022.10.23)