帕洛阿尔托网络如何确定漏洞评分(严重性)?
22798
Created On 02/11/22 17:55 PM - Last Modified 01/31/23 01:45 AM
Question
PaloAlto Networks 如何对威胁严重性进行分类?
Environment
- 帕洛阿尔托防火墙和Panorama.
- PAN-OS 8.1及以上。
- 威胁签名。
Answer
- 签名严重性通常由考虑因素的组合决定,包括CVSS分数等因素。 CVSS 分数起着很大的作用。
- Palo Alto 网络自己对漏洞进行分析。
- 分析的依据是漏洞利用的难易程度、对漏洞的影响、漏洞产品的普遍性、漏洞的影响等。
- CRITICAL 严重性:
- 当漏洞影响部署非常广泛的软件的默认安装时,漏洞利用可能导致 root 受损。 这CVE分数很高。
- 漏洞利用代码(有关如何利用系统代码、方法、概念证明的信息(POC )) 广泛可用且易于利用。
- 攻击者不需要任何特殊的身份验证凭证、关于个体受害者的知识、任何社会工程师。
- 高严重性:
- A 具有所有特征的脆弱性CRITICAL但这些很难利用,
- 不会导致 root 访问或提升权限,受害者池有限,需要社会工程。
- HIGH 由于缺乏技术利用细节而导致缓解因素的漏洞将成为CRITICAL如果这些详细信息稍后可用。
- 因此,偏执的管理员会想要对待这样的HIGH漏洞作为CRITICAL,如果假设攻击者总是拥有必要的利用信息。
- 中等严重程度:
- 当利用对受害者系统的访问非常有限时,可以轻松缓解,
- 要求攻击者与受害者驻留在同一本地网络上,社会工程师个体受害者,并且只影响非标准配置或晦涩的应用程序。
- LOW 严重程度:
- 漏洞本身对组织的基础设施影响很小。
- 这些类型的漏洞通常需要本地或物理系统访问,或者可能经常导致客户端隐私或拒绝服务问题以及组织结构、系统配置和版本或网络拓扑的信息泄漏。
- 另一种类型的低签名可能表示攻击服务器所需的流量,例如 MicrosoftRPC端点映射器。
- 为了成功攻击微软RPC漏洞,攻击必须首先查询RPC端点第一。
- INFORMATIONAL严重程度:
- 漏洞实际上可能不是漏洞,而是报告的可疑事件,以提醒安全专业人员注意可能存在更深层次的问题。
Additional Information
这CVSS得分Prisma cloud能够被找到的这里。
例子:
| CVSS BASE SCORE | PRISMA CLOUD SEVERITY |
|---|---|
| 0.0 - 3.9 | 低的 |
| 4.0 - 6.9 | 中等的 |
| 7.0 - 8.9 | 高的 |
| 9.0 -10.0 | 批判的 |