2、网络安全漏洞评估与风险计算全解析

网络安全漏洞评估与风险计算全解析

1. 漏洞发现途径与风险概述

供应商发现漏洞的途径多种多样。理想情况下，供应商应在产品发布前自行发现并修复所有安全问题，但代码的复杂性和紧迫的开发周期易导致安全方面的开发失误。通常，独立或商业安全研究人员会将漏洞告知供应商，有时，供应商会与公众同时得知漏洞，因为这些漏洞在未提前通知的情况下就被披露了。

漏洞一旦公开，就会给组织带来风险。风险的大小取决于多个因素：
- 供应商风险评级
- 组织内受影响系统的数量
- 组织内受影响系统的关键程度
- 受影响系统对组织的暴露程度

组织可以通过多种方式计算风险，其中一种较为合理的公式为：
Risk = Vulnerability x Attacks x Threat x Exposure
其中：
- V = Vulnerability ：对被视为漏洞的问题的衡量，通常通过漏洞评估得出，如使用Tenable Network Security的Nessus或eEye Digital Security的Retina进行审计。
- A = Attacks ：对实际攻击和危险的衡量，通常借助基于主机或网络的入侵检测/预防工具，如eEye Digital Security的Blink或开源网络入侵检测系统Snort。没有这些工具的组织可以使用公共攻击跟踪服务。
- T = Threat ：对潜在或即将到来的危险的衡量，即威胁环境，包括漏洞利用的可用性和难易程度等因素。
- E = Exposur