根據前一章,我們用弱掃工具取得各系統的弱點清單,上面的分數是Base分數,用商用軟體幫你填入更多參數,然而,許多環境因素工具是沒辦法幫你計算,因為他不知道這個服務是否重要、是否有對外、是否上面有機密資訊、是否也額外保護措施等等
這些資訊在導入ISMS做風險評鑑時的"資訊資產清單"裡面,有(4)機密性、(5)完整性、(6)可用性以及風險值等資料,再加上對外服務清單(2)、有雙因子或登入管理系統(3)權限部分是可以緩解的,以及第4章收集情資是否已有Exploit(1)
基本分數 + (機密性 * 權重) + (完整性 * 權重) + (可用性 * 權重) + (服務重要性 * 權重) + (漏洞POC公開 * 權重) - (漏洞類性 mapping 既有控制防護)
接著當有這些資料後自動化計算就可行了,以Nessus來說可以匯出CSV或是API方式,Github也有很多匯入資料庫的專案
VulnWhisperer
https://github.com/HASecuritySolutions/VulnWhisperer
至於公式每個參數的比重是需要討論出來的,每個場域對於C.I.A的比重各有不同。
將這些資料加入可以做為是否掃描的依據,有些弱點資產在內網可以適度調降風險,然而對外的就要調高風險,衡量既有人力資源,分配在修補重要的資產上,視情況加速修補或者增加修補到低威脅弱點,回覆了第二章的問題"低風險就不需要處理"。
將資源放在對的事情上,可避免什麼事情都做,結果都做不好的窘境。