如何纳管渗透测试及众测发现漏洞

安全运营摄星 2022-09-08

用户在部署漏洞管理平台及对非标漏洞评级时应先确立本组织使用哪种评级标准。

渗透测试和众测作为漏洞发现的有效手段，在日常安全服务、各类重保活动、安全检查中广泛使用。此类手段发现的漏洞其真实性、漏洞细节、可利用性往往是明确的，漏洞修复优先级相对较高。

作为漏洞管理的一部分，此类漏洞应与扫描工具发现漏洞一起纳入漏洞管理体系进行统一跟踪管理。纳管过程经常碰到如下两方面问题。

数据纳管碰到的两类问题

漏洞定性定级问题：此类人工发现的漏洞有可能是已经公开发布的通用型漏洞，更有可能是事件型的非通用型非标漏洞。非标漏洞在漏洞评级时，常见问题是缺少标准依据、评级工具，尤其是多人、多个队伍同时发现的漏洞，往往会在评级上产生分歧。好办法是非标漏洞的评级标准参考漏洞管理平台、漏洞库使用的评级标准。
漏洞数据纳管问题：此类人工发现漏洞数据在纳入平台管理时，需要解决漏洞数据不标准、漏洞重复的问题，平台还需具备丰富的漏洞属性字段，此部分可能与标准漏洞相关属性不同，更多的需要用户自定义，如关联资产、服务公司、漏洞发现人（队伍）、发现时间、批次、场景、细节等等，便于后续的考核评分、跟踪管理。

确立漏洞评级标准

当前在用的漏洞评级标准有国家标准、CVSS v2.0、CVSS v3.1。不同评级标准间互相借鉴，又有所差异，CVE、NVD使用CVSS标准，CNNVD使用国家标准，不同的漏洞扫描工具厂家使用的评级标准也各有不同，因此，用户在部署漏洞管理平台及对非标漏洞评级时应先确立本组织使用哪种评级标准。

现行国家标准

现行国家标准为GBT30279-2020《信息安全技术网络安全漏洞分类分级指南》。2018年对GB/T 30279-2013《信息安全技术安全漏洞等级划分指南》和GB/T 33561-2017《信息安全技术安全漏洞分类》进行统一修订，参考CWE、CVSS等标准，编制《信息安全技术网络安全漏洞分类分级指南》，实现对网络安全漏洞的统一分类和分级，在2020年形成新的国家标准。

国标分级计算过程

现行国标中，将漏洞分为超危、高危、中危、低危四个级别。分级过程包括最初指标赋值、中间指标分级和最后的分级计算三个步骤。如下图所示：

以CVE-2014-0160的分级计算为例，如下表：

CVE-2014-0160漏洞被利用性为9级，影响程度为4级，技术分级为高危，环境因素为7级，结合技术分级，综合分级为高危。

基于国标的自动化评级工具

从上述评级计算过程来看，对人员要求较高，计算过程也较复杂。为提升评级过程的效率、评级标准的易用性，漏洞管理平台提供基于国标的图形化、自动化评级工具，只需要简单点选，依据评级过程自动计算漏洞等级。

CVSS系列标准

CVSS是由FIRST组织维护的全球通用的漏洞评分准则，旨在为IT漏洞评级提供一个开放和标准化的方法。是ITU-T（b-ITU-T X.1521)和NIST（NISTIR 7435）的推荐标准。其演进过程为：

CVSS v2与v3.1区别

CVSS v2与v3.1在影响向量、攻击向量、攻击复杂性、身份验证、评级表等指标度量方面都有较大不同，相关变化见下图所示：

同时，在风险值计算过程、算法方面也有较大区别，如下图：

从以上可以看出，由于v2.0和v3.1评级使用的向量、计算过程不同，这就造成了虽然使用的是同一个标准，但最后评级结果有较大差异。

FIRST建议用户在2019年底更新到V3.1版本。实际上，目前CVSS v2.0仍然大量使用，当前处于v2和v3.1混用的局面。

没有普适性的、完美的评级标准，即使是最新的CVSS v3.1在时间、环境度量、动态计算、资产适用性方面仍然存在不足，在漏洞管理平台中，用户可根据自身实际情况，指定某个作为评级标准，其余可作为参考。

基于CVSS的自动化评级工具

从上述评级计算过程来看，对人员要求较高，计算过程也较复杂。为提升评级过程的效率、评级标准的易用性，漏洞管理平台提供基于CVSS v2和CVSS v3.1的图形化、自动化评级工具，只需要简单点选，依据评级过程自动计算漏洞等级。

基于CVSS v3.1的自动化评级工具：

基于CVSS v2的自动化评级工具：

漏洞数据纳管

渗透测试及众测数据纳入漏洞管理平台管理过程相对简单，主要应注意以下三方面：

01 可灵活自定义资产漏洞属性

每次测试由于测试对象、测试单位、测试时间、测试原因、测试场景不同，可能会有特殊的属性，漏洞管理平台应该支持资产和漏洞的个性化属性自定义，以满足管理此类漏洞的需要。

02 录入和批量数据导入

对于平台有账号的用户可手工录入测试漏洞。平台无账号、或者批量导入数据，应支持文件模版导入测试漏洞。

03 漏洞数据治理能力

平台对此类漏洞，应具备标准漏洞无需录入、非标漏洞一次录入重复使用、漏洞数据标准化、自动去重合并、多人多资产多端口关联等能力。

声明：本文来自摄星，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

安全运营漏洞管理

相关资讯

微信公众号