分类

分类是漏洞管理生命周期的第二个阶段：检测、分类、分析、修复。

分类是一个持续的过程，通过评估每个漏洞来决定哪些需要立即关注，哪些不那么关键。高风险漏洞与中低风险威胁分开处理。分析并修复每个漏洞可能不可行或不可行。作为风险管理框架的一部分，分类有助于确保资源被应用在最有效的地方。最好经常对漏洞进行分类，这样每个分类周期的漏洞数量就会少且易于管理。

分类阶段的目标是确认或排除每个漏洞。确认的漏洞会进入分析阶段，而被排除的漏洞则不会。

使用包含在安全仪表板、安全清单和漏洞报告中的数据，帮助高效有效地对漏洞进行分类。

范围

分类阶段范围是所有尚未分类的漏洞。要列出这些漏洞，请在漏洞报告中使用以下筛选条件：

• 状态：需要分类

风险分析

您应根据风险评估框架进行漏洞分类。根据您的行业或地理位置，遵守框架可能是法律要求的。如果不是，您应该使用受尊重的风险评估框架，例如：

• SANS Institute 漏洞管理框架
• OWASP 威胁和保障矩阵 (TaSM)

通常，在漏洞上花费的时间和精力应与其风险成正比。例如，您的分类策略可能是只有严重和高风险的漏洞进入分析阶段，其余的则被排除。您应根据漏洞的风险阈值做出此决定。

对漏洞进行分类后，您应将其状态更改为以下之一：

• 已确认：您已对此漏洞进行了分类，并确定需要分析。
• 已排除：您已对此漏洞进行了分类，并决定不进行分析。

当您排除一个漏洞时，必须提供一条简短的注释说明排除原因。如果在后续扫描中检测到被排除的漏洞，它们将被忽略。漏洞记录是永久的，但您可以随时更改漏洞的状态。

分类策略

使用风险评估框架来指导您的漏洞分类过程。以下策略也可能有所帮助。

优先处理高风险漏洞

根据风险对漏洞进行优先级排序。

• 使用漏洞优先级 CI/CD 组件帮助对漏洞进行优先级排序。例如，CISA 已知利用漏洞 (KEV) 目录中的漏洞应作为最高优先级进行分析和修复，因为这些漏洞已知已被利用。
• 对于每个组，转到安全清单以可视化需要保护的资产，并了解需要采取哪些行动来改善您的安全态势。
• 对于每个组，转到安全仪表板并查看项目安全状态面板。这按最高严重性漏洞对项目进行分组。使用此分组来优先处理每个项目中的漏洞分类。
• 优先处理您最高优先级项目的漏洞分类 - 例如，部署给客户的应用程序。
• 对于每个项目，查看漏洞报告。按严重性对漏洞进行分组，并将所有严重和高严重性漏洞的状态更改为"已确认"。

忽略低风险漏洞

为确保您关注正确的漏洞，可以对低风险漏洞进行批量分类。

• 有时漏洞会被检测到，但在后续的 CI/CD 管道中不再被检测到。在这种情况下，漏洞的活动被标记为不再检测到。如果其严重性为低或信息，您可以选择排除这些漏洞。在漏洞报告中，使用筛选条件活动：不再检测到，然后批量排除它们。您也可以使用漏洞管理策略来自动执行此操作。
• 通过标识符排除漏洞。如果漏洞由应用程序层外的控制措施缓解，您可以选择排除它们。在漏洞报告中，使用标识符筛选器选择所有匹配特定标识符的漏洞，然后批量排除它们。