漏洞是必然存在的。出于开发人员水平的局限,或代码复杂度的提高,现代应用中出现漏洞可以说是不可避免的。有数据显示,程序员每写1000行代码,就会出现2~40个逻辑性缺陷,最终导致漏洞的产生。中国信息安全测评中心牵头编写的《2022上半年网络安全漏洞态势观察》报告显示,2022 年上半年,漏洞仍然是网络空间安全威胁的最大来源。超高危漏洞数量持续攀升,利用难度低、危害大的漏洞仍是热点。其中,利用Log4j漏洞的攻击次数超过8000万,占据所有漏洞利用量的榜首,典型漏洞利用攻击以政府机构、教育、IT 行业领域的信息系统为主要目标。
漏洞带来的危害已经越来越大,实施有效的漏洞管理成为企业网络安全建设中的重要组成部分。
漏洞管理策略
漏洞管理已成为企业网络安全战略中的必选项。Verizon发布的2022年数据泄露调查报告发现,约70%的网络攻击利用已知漏洞和可用补丁。可见,及时修补漏洞是避免安全隐患的最有效方式。
漏洞管理通常包括识别、评估、处理和报告四个过程。其中,漏洞识别是漏洞管理的第一步,通常通过漏洞扫描来实现;漏洞评估是对漏洞的危害性进行打分,比较常见的漏洞打分系统是CVSS评分;漏洞处理是对漏洞进行修补的行为,通常根据漏洞的危害性进行针对性修补;漏洞报告是对漏洞管理过程的最终总结,它有助于对漏洞管理形成经验的积累。
现如今,漏洞被披露的次数和影响在逐年升高,这表明组织在漏洞管理方面做得并不够好。IT系统越来越复杂,攻击方式越来越高级,漏洞管理团队面临的任务也变得越来越艰巨,他们通常更加难以在漏洞被利用之前对其进行分析和响应。当前,漏洞管理面临的最大挑战是缺乏合格的安全人员、糟糕的流程设计和安全技术的不足。
网络安全人才的短缺已是不争的事实,企业恰恰需要一支由具有独特资质和能力的安全专家团队为其制定完善的漏洞管理策略。一个良好的漏洞管理策略的范围非常广泛,通常涵盖计算机和网络设备、定制开发的应用程序、操作技术(OT)、云基础设施等领域。因此,需要许多利益相关者的共同参与,包括IT团队、安全团队以及负责云计算或应用程序相关的技术团队。拥有这些技术团队和管理层的支持和投入,是构建良好漏洞管理策略的关键。
漏洞扫描工具是漏洞管理解决方案中常见的安全产品,用以识别计算设备、网络、自定义代码、第三方库、云配置、API、数据库技术、SaaS产品等中的漏洞。由于许多企业通常使用大量不同厂家的漏洞扫描和识别工具,如何确保一致的漏洞响应是企业在实施过程中需要注意的问题。其中,漏洞聚合能力和集中式漏洞数据库是在整个组织内实施一致的漏洞响应方法的关键。此外,利用最新的IT资产清单和漏洞数据库,可以确保漏洞识别工具能够覆盖企业中的所有资产。
漏洞补救的效率和覆盖率是相关的,如果优先级策略没有重大变化,那么改进其中一个指标通常会导致另一个指标的降低。例如,提高漏洞修补的覆盖率往往会降低修补效率。有数据显示,在2018年左右,漏洞修补覆盖率和效率都是约35%,但覆盖率的增加(更多被利用的漏洞得到正确修补)导致效率下降(更少的漏洞被利用)。
基于风险的漏洞管理
根据Cobalt发布的一份报告,79%的安全团队难以持续监控漏洞。对漏洞的补救归根结底是落后于攻击的,无法做到先人一步。基于风险的漏洞管理(RBVM)是一种预防性方法,它可以让企业在漏洞被披露之前做好防范。由于传统漏洞修补强调的是识别和评估漏洞,基于风险的漏洞管理则更为全面和完善,不仅提供了完整的可见性,还包括持续评估能力和主动的防护策略。
1.可见性是基于风险的漏洞管理的前提。要做到全面的可见性,就需要对企业资产做到全面梳理和发现。
2.将漏洞与上下文相关联。传统的扫描方式在面对如今包含云原生、移动应用等纷繁复杂的IT环境时,已显得力不从心。通过基于上下文的扫描,包括采用自动化攻击模拟测试,可以识别和映射更多资产。
3.确定漏洞修补的优先级。不是每一个漏洞都值得花费巨大精力修补,企业不能完全依赖基于漏洞评分系统的评估结果,因为即使评分较低的漏洞如果与企业业务密切相关,它仍然可能给企业带来巨大危害。因此,确定漏洞修补的优先级至关重要,特别是要与企业关键业务和资产相关联
漏洞管理趋势展望
随着攻防技术的不断演进,基于漏洞的威胁将更加复杂、隐蔽,其危害也更大。企业所需的漏洞扫描工具数量将继续增长,对于相关漏洞管理产品供应商而言,漏洞扫描产品供应商将更加专注于识别特定技术中的漏洞。漏洞数据库将成为企业漏洞管理策略的关键。组织创建的威胁和漏洞情报、供应商提供的漏洞情报都将纳入漏洞管理策略、服务级别协议(SLA),创建以情报为主导的漏洞管理策略将比当今最好的漏洞管理产品更加高效。
1.机器学习和人工智能在漏洞管理中的应用
随着机器学习(ML)和人工智能(AI)技术的改进,人工智能在漏洞管理方面的价值将得到展现。尽管当前漏洞管理中涉及数据集成、工作流自动化和数据可见性的痛点非常突出,并且ML/AI都还无法很好地改善这些问题,但在漏洞和风险优先级评级中,ML/AI技术得到了很好的发挥。利用预测评分系统(EPSS)进行漏洞优先级预测就是很好的例子,EPSS可以通过对过去的漏洞利用模式进行分析,并预测未来哪些漏洞危害更大,进而进行优先修复。当然,虽然EPSS分数本身还不足以解决确定漏洞优先级的问题,但通过与其他威胁情报相结合,其准确性将得到大大提高。
2.修补即服务
通常情况下,还要必须考虑哪些紧急事项是需要最先做的,这就会造成紧急事项影响重要事项正常推进的情况。通过“修补即服务”(Patching-as-a-Service),即将修补漏洞工作交给第三方服务商,组织将可以解放大量精力。修补即服务不仅可以节省企业的时间和成本,安全性也得到了提高。这种外包模式为安全管理者提供了可验证的SLA。但修补即服务模式也会带来一些负面影响,首当其冲就是透明性和控制力。修补漏洞过程不像在企业内部进行的那样透明,企业可能会因外包而失去对漏洞管理的控制,导致安全能力的转移。因此,修补即服务可能对安全能力有所欠缺的中小企业更为有效。但总体来讲,将漏洞修补交给第三方专业安全服务商仍是大势所趋,修补即服务模式也将成为众多托管安全服务中的一个子集,为企业节省大量的成本和精力。
3.自动化
随着补丁管理变得更加复杂,修补即服务将扩大到更多行业用户,其服务内容也会得到扩展,包括补丁管理软件、补丁存储库和补丁部署工具等。如上所述,随着ML/AI技术在网络安全领域的深入运用,修补程序管理软件可以借助ML/AI实现自动化修补漏洞和管理漏洞,并使用补丁部署工具将修补程序自动化部署到系统。网络安全供应商Skybox Security推出的一个新解决方案可以自动将漏洞映射到恶意软件类型,并实现将漏洞管理与威胁搜索相整合的整体安全态势管理。该漏洞管理流程强调整合公开漏洞并识别控制漏洞,在此基础上,Skybox还能够按名称、类别将漏洞与恶意软件相关联,包括勒索软件、远程访问木马、僵尸网络、加密货币矿工等,以实现更广泛识别能力的提升。
结语
企业确保网络安全的很大一部分工作集中在漏洞问题上,可见漏洞管理对企业整体网络安全建设的重要性。2021年出现的Apache Log4j高危险级别远程代码执行漏洞给当下企业漏洞管理工作敲响了警钟——严重的突发漏洞能够广泛影响到各行各业,严重危害社会经济的发展。
做好漏洞管理不仅关系到企业业务平稳运行,甚至关乎国家安全。特别是对于存在于关键信息基础设施中的漏洞,Gartner的相关统计显示,到 2025年,30%的关键信息基础设施组织将遇到安全漏洞。在网络安全法、《网络产品安全漏洞管理规定》等法律法规的推动下,未来针对漏洞的研究将更加深入,只有大力加强网络安全专业人才培养,让漏洞管理走上专业、合规的道路,才能真正护航数据经济的发展。
来源:《网络安全和信息化》杂志