使用风险策略分析威胁

优先排序漏洞修复工作是保障您的环境安全的最重要挑战之一。如果 Nexpose 在每次扫描时发现数百个或者甚至数千个漏洞，您怎样才能确定首先处理哪个漏洞或资产？

每个漏洞都具有许多特性，这些特性能够指明利用漏洞的容易程度以及攻击者在执行漏洞利用程序后可以对您的环境做些什么。这些特性组成了漏洞对您的企业造成的风险。

同样，按照对您的企业安全的敏感程度的不同，每个资产都具有与其相关的风险。例如，如果某个含有信用卡编号的数据库被入侵，您的企业受到损害的程度会远远高于打印机服务器被入侵的情况。

本应用程序提供了风险计算方面的多种策略。每种策略能够强调某种特性，这样，您可以根据您的企业的独特安全需求或目标来分析风险。您还可以创建自定义策略并将它们与应用程序整合在一起。

在您选择一个风险策略后，您可以通过下列方式使用它：

• 根据风险的不同，分类漏洞在网页界面表格中出现的方式。通过分类 漏洞，您可以迅速做出视觉判断，以确定哪些漏洞需要您立即关注，而哪些漏洞是较不重要的。
• 长期查看报告中的风险趋势，这样，您可以追踪修复工作的进展或者确定在您的网络内部不同区段的风险会随着时间的发展而增加或降低。

使用风险策略涉及下列活动：

• 更改您的风险策略并重新计算过去的扫描数据
• 使用自定义风险策略
• 更改风险策略的先后顺序

对比风险策略

• 实际风险策略
• 改良版时间性策略
• 时间性策略
• 加权策略
• PCI ASV 2.0 风险策略

每个风险策略都以一个公式为依据，其中，诸如入侵可能性、入侵影响以及资产重要性等因素均被计算。每个公式都会产生一个不同的数值范围。例如，实际风险策略会得出最高分 1,000，而时间性策略则没有上限，某些高风险漏洞的分数会达到数十万。如果您在扫描数据的不同区段应用各种风险策略，那么，牢记上述内容是至关重要的。请参见更改您的风险策略并重新计算过去的扫描数据。

许多可用的风险策略在评估风险方面都采用相同的因素，每个策略会以不同的方式评估并聚集相关因素。常见的风险因素被划分为三个类别：漏洞影响、初始利用难度以及威胁曝光。含有漏洞影响和初始利用难度的因素属于在通用漏洞评分系统 (CVSS) 中利用的六个基础指标。

• 漏洞影响是一种针对资产在遭遇漏洞攻击时的入侵对象以及入侵程度的衡量方式。影响由三个因素组成：
• 机密性影响是指向未经授权的个人或系统披露数据。
• 完整性影响是指未经授权的数据修改。
• 可用性影响是指失去访问资产数据的权限。
• 初始利用难度是一种针对成功漏洞攻击的可能性的衡量方式，它由三个因素组成：
• 访问矢量是指攻击者利用漏洞需要与资产的接近程度。如果攻击者必须进行本地访问，则风险级别为低级。所需的较小接近度反应了较高的风险。
• 访问复杂度是指基于难易渗透利用程度的利用可能性，包括实现利用可行性所需的技能和必须存在的环境。较低的访问复杂度反应了较高的风险。
• 验证要求是指基于攻击者利用漏洞所需验证次数的利用可能性。所需的较少验证次数反应了较高的风险。
• 威胁曝光含有三个变量：
• 漏洞存在时间是一种针对安全社区了解漏洞的时间的衡量方式。了解漏洞存在的时间越长，威胁社区策划利用漏洞方式的可能性越大，而且资产遭遇以漏洞为目标的攻击的可能性也越大。较长的漏洞存在时间反应了较高的风险。
• 漏洞利用程序曝光是指根据 Metasploit 框架规定的漏洞的最高级利用等级。此等级能够衡量已知漏洞利用程序入侵可入侵资产的容易程度和持续程度。较高的漏洞利用程序曝光反应了较高的风险。
• 恶意软件曝光是一种针对与漏洞相关的任何恶意软件包（也被称为漏洞利用程序软件包）的发生率的衡量方式。开发者创建的此类软件包能够让攻击者编写和部署恶意代码变得更加容易，以通过相关漏洞攻击目标。

请在进行选择前仔细查看每种模式的摘要。

实际风险策略

我们建议使用此策略，因为您可以通过它对那些已被漏洞利用程序或恶意软件包开发的漏洞进行优先排序。让您的环境暴露于简单的漏洞利用程序或以广泛传播的恶意软件包开发的感染之中的安全漏洞可能需要您的立即关注。实际风险算法能够将针对每个漏洞的独特漏洞利用程序和恶意软件曝光指标应用于 CVSS 基础指标，以检验可能性和应用。

具体而言，此模式能够根据漏洞的机密性影响、完整性影响和可用性影响计算介于 0 至 1,000 之间的最大影响。此影响需要乘以可能性因素，该因素通常为小于 1 的分数。可能性因素具有一个初始数值，该数值以 CVSS 中的漏洞的初始利用难度指标为依据：访问矢量、访问复杂度和验证要求。可能性能够被威胁曝光修改：可能性会根据漏洞的存在时间而增长，随着时间逐渐接近 1。可能性随着时间而增长的速率以漏洞利用程序曝光和恶意软件曝光为依据。漏洞风险的增长绝不会超过其 CVSS 影响指标指定的最大影响。

实际风险策略可以被概括为基本影响，由入侵的初始可能性修改，并由威胁曝光随着时间的增长而修改。最高可能的实际风险评分为 1,000。

改良版时间性策略

和时间性策略一样，改良版时间性策略着重强调知晓存在漏洞的时间长度。不过，通过扩大部分影响矢量的风险贡献，它可以提供更多关于漏洞影响的粒度分析。

通过利用机密性影响、完整性影响、可用性影响以及访问矢量，改良版时间性风险策略可以聚集基于接近度的漏洞影响。此影响可由聚集的利用难度指标调和，即访问复杂度和验证要求。然后，风险会随着漏洞存在时间而增长。

改良版时间性策略没有上限。某些高风险漏洞的分数会达到数十万。

此策略可以在相同矢量方面区分与带有“部分”影响值的漏洞相关的风险以及带有“无”影响值的漏洞相关的风险。如果您需要从采取相同处理方式的时间性策略切换至改良版时间性策略，记住这一点尤其重要。实施这种切换可以为在您的环境中检测到的许多漏洞提高风险评分。

时间性策略

此策略重点强调知晓存在漏洞的时间长度，所以，它对于优先排序较旧的漏洞的修复工作而言十分有用。较旧的漏洞被认为更容易被利用，因为攻击者了解它们的时间更长。而且，漏洞存在的时间越长，较不常见的漏洞利用程序存在的机会越大。

通过利用机密性影响、完整性影响、可用性影响以及访问矢量，时间性风险策略可以聚集基于接近度的漏洞影响。此影响可由除以聚集的利用难度指标进行调和，即访问复杂度和验证要求。然后，风险会随着漏洞存在时间而增长。

时间性策略没有上限。某些高风险漏洞的分数会达到数十万。

加权策略

如果您需要为站点分配重要性级别，或者如果您想评估与在目标资产上运行的服务相关的风险，加权策略是十分有用的。此策略主要以站点重要性、资产数据和漏洞类型为依据，它重点强调了下列因素：

• 漏洞严重性，这是应用程序针对每个漏洞计算的数值（从 1 至 10）
• 漏洞实例的数量
• 资产上的服务数量和类型；例如，数据库具有较高的业务价值
• 您在进行配置时分配给站点的重要性级别或加权级别；请参见 配置动态站点或者准备开始：信息和安全。
• 加权风险评分与漏洞数量成比例。资产上较高数量的漏洞意味着较高的风险评分。评分通常以带有小数的个位数或两位数表示。

PCI ASV 2.0 风险策略

PCI ASV 2.0 风险策略能够将给予支付卡行业数据安全标准 (PCI DSS) 版本 2.0 的分数应用至每个已发现的漏洞。级别范围从 1（严重性最低）至 5（严重性最高）。借助于此模式，经核准的扫描供应商 (ASV) 及其他用户可以通过分类基于 PCI 2.0 分数的漏洞和查看 PCI 报告中的分数的方式从 PCI 角度评估风险。而且，这五个严重性级别为您的企业在一瞥之下评估风险提供了一种便捷的方式。

更改您的风险策略并重新计算过去的扫描数据

您可以选择更改当前的风险策略，以从不同的视角看待您的环境中的风险。由于做出此种更改可能会导致未来扫描显示的风险评分与过去扫描得出的风险评分相差太多，因此，您还可以选择重新计算过去的扫描数据的风险评分。

这样做可以在长期风险追踪方面保持连续性。如果您使用风险趋势图表来创建报告，您可以针对特定的扫描日期范围重新计算分数，以便这些分数能够与未来扫描的分数保持一致。这样可以确保您的风险趋势报告的连续性。

例如，您可以将 12 月 1 日的风险策略从时间性策略改为实际风险策略，以执行基于曝光的风险分析。您可能想要向您企业内部的管理团队展示在每年第一季度末提供的修复资源投资对风险修复具有积极影响。因此，当您选择实际风险策略时，您会想要针对自 4 月 1 日起的所有扫描数据计算实际风险评分。

计算时间不同。根据需要重新计算的扫描数据数量的不同，此流程可能需要占用数个小时。在此进程中，您不能取消重新计算。

注意: 在进行重新计算时，您可以执行常规活动，如扫描和报告。不过，如果您在重新计算期间运行含有风险评分的报告，则这些评分会显示不一致的结果。报告可能含有来自之前使用的风险策略和新选择的风险策略的分数。

如需更改您的风险策略并重新计算过去的扫描数据，请执行以下步骤：

前往风险策略页面。

1. 点击安全控制台网页界面的管理图标。

控制台将显示管理页面。

2. 点击全局设置的管理。

安全控制台将显示全局设置面板。

3. 点击左导航窗格中的风险策略。

安全控制台将显示风险策略页面

选择一个新的风险策略。

1. 点击风险策略页面上任何风险策略的箭头，查看关于它的信息。

此类信息包括策略描述及其计算因素、策略来源（内置或自定义）以及已使用的时间（如为当前选定的策略）。

2. 点击所需要的风险策略的单选按钮。
3. 如果您不想重新计算过去的扫描数据的分数，请选择不要重新计算。
4. 点击保存。您可以忽视下列步骤：

（可选）查看风险策略使用情况的历史记录。

此操作允许您查看不同的风险策略怎样被应用于您的所有扫描数据上。此信息可以帮助您准确判断自己需要重新计算多少扫描数据才能防止在风险趋势一致性方面出现差距。它对于判断风险趋势数据区段出现不一致的原因也十分有用。

1. 点击风险策略页面上的使用情况历史记录。
2. 点击风险策略使用情况方框中的当前使用情况标签，以查看当前应用于您的全部扫描数据集的所有风险策略。

请注意状态栏，它能够显示是否存在任何未成功完成的计算。这有助于您通过重新运行计算在风险趋势数据中故障排除不一致的部分。

3. 点击更改审计标签，以在您的安装历史记录中查看风险策略使用情况的每一次修改。

此部分中的表格列出了每一个应用不同风险策略的实例、受影响的数据范围以及实施更改的用户。此类信息对于故障排除风险趋势的不一致性或者其他用途而言可能也十分有用。

4. （可选）点击导出为 CSV 图标，以将更改审计信息导出为 CSV 格式，您可以在供内部使用的电子数据表中使用该格式。

重新计算过去的扫描数据的风险评分。

1. 点击您想要重新计算的扫描数据的日期范围的单选按钮。如果您选择了全部历史记录，则自您首次扫描以来的所有数据分数均会被重新计算。
2. 点击保存。

安全控制台将显示一个方框，以指明已完成的重新计算的百分比。

使用自定义风险策略

您可能想要使用从具体针对您的企业的安全目标的角度来分析风险的自定义策略来计算风险评分。您可以在 Nexpose 中创建并使用自定义策略。

每个风险策略都是一个 XML 文档。它需要含有 id 属性的 RiskModel 元素，该属性是自定义策略的唯一内部标识符。

RiskModel 含有下列必须的子元素。

• name：这是在网页界面的风险策略页面中显示的策略名称。数据类型为 xs:string。
• description：这是在网页界面的风险策略页面中显示的策略描述。数据类型为 xs:string。

注意: Rapid7 专业服务组织 (PSO) 能够提供自定义风险评分开发。如需了解更多信息，请联络您的客户经理。

• VulnerabilityRiskStrategy：此子元素含有针对策略的数学公式。我们建议您参考内置策略的 XML 文件作为 VulnerabilityRiskStrategy 子元素模式的结构和内容。

自定义风险策略 XML 文件含有下列结构：

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<RiskModel id="custom_risk_strategy">

   <name>Primary custom risk strategy</name>

   <description>

       此自定义风险策略着重强调大量重要因素。

   </description>

   <VulnerabilityRiskStrategy>

       [formula]

   </VulnerabilityRiskStrategy>

</RiskModel>

注意: 务必确保您的自定义策略 XML 文件具有正确的格式且含有所有必须的元素，以保证应用程序能够按照预期执行任务。

如需在 Nexpose 中启用自定义风险策略，请执行下列步骤：

1. 复制您的自定义 XML 文件至目录

[installation_directory]/shared/riskStrategies/custom/global。

2. 重启安全控制台。

自定义策略会在风险策略页面的列表顶部显示出来。

为风险策略设置先后顺序

如需设置风险策略的顺序，请添加带有指定的大于 0 的数值的可选顺序子元素，如下方示例所示。指定 0 可能会导致策略最后出现。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<RiskModel id="janes_risk_strategy">

   <name>Jane’s custom risk strategy</name>

   <description>

        Jane 的自定义风险策略着重强调对 Jane 而言十分重要的因素。

   </description>

   <order>1</order>

   <VulnerabilityRiskStrategy>

       [formula]

   </VulnerabilityRiskStrategy>

</RiskModel>

如需设置先后顺序：

1. 打开想要的风险策略 XML 文件，该文件会在下列目录中显示：

• 针对自定义策略：[installation_directory]/shared/riskStrategies/custom/global
• 针对内置策略：[installation_directory]/shared/riskStrategies/builtin

3. 将带有指定数字的顺序子元素添加至文件中，如上文示例所示。
4. 保存并关闭文件。
5. 重启安全控制台。

更改风险策略的先后顺序

您可以更改风险策略在风险策略页面上的列出顺序。如果您需要列出许多策略且您想要将最常用的策略列在顶部附近，那么，此操作十分有用。如需更改顺序，您可以使用风险策略 XML 文件中的可选顺序元素，为每一个策略分配一个顺序编号。这是 RiskModel 元素的子元素。请参见使用自定义风险策略 。

例如：您的企业中的三名员工创建了自定义风险策略：Jane 的风险策略、Tim 的风险策略以及 Terry 的风险策略。您可以为每个策略分配一个顺序编号。您还可以为内置风险策略分配顺序编号。

结果，策略的先后顺序可能如下：

• Jane 的风险策略 (1)
• Tim 的风险策略 (2)
• Terry 的风险策略 (3)
• 实际风险 (4)
• 改良版时间性风险 (5)
• 时间性风险 (6)
• 加权风险 (7)

注意: 在每次产品更新时，大家都可以将内置策略的顺序重置为默认顺序。

自定义策略通常出现在内置策略的上方。因此，如果您为自定义策略和内置策略分配了相同的编号，或者甚至如果您为内置策略分配了较小的编号，那么，自定义策略通常会首先显示。

如果您没有为某个风险策略分配编号，那么，它会在各自组（自定义或内置）的底部显示。在下方示例的顺序中，有一个自定义策略和两个内置策略被编号为 1。

有一个自定义策略和一个内置策略没有被编号。

• Jane 的风险策略 (1)
• Tim 的风险策略 (2)
• Terry 的风险策略（未分配编号）
• 加权风险 (1)
• 实际风险 (1)
• 改良版时间性风险 (2)
• 时间性风险（未分配编号）

请注意，相较于两个被编号的内置策略，自定义策略 Tim 的风险策略具有较大的编号；但它出现在这两个内置策略之上。

理解风险评分与扫描的合作方式

在资产获得扫描完成状态之前，它需要经历多个扫描阶段。尚未经历所有必须扫描阶段的资产具有正在进行的状态。 Nexpose 只能基于具有已完成扫描状态的资产的数据来计算风险评分。

如果扫描暂停或停止，则本应用程序不会在计算风险评分中使用来自不具备已完成状态的资产的结果。例如：同时对 10 项资产进行扫描。七项资产具有已完成的扫描状态；而其中的三项资产则没有。扫描停止。风险计算以具有已完成状态的七项资产的结果为依据。对于三项具有正在进行状态的资产，本应用程序会使用来自上一次已完成扫描的数据。

如需判断扫描状态，请查询扫描日志。请参见查看扫描日志 。