蓝盟IT小贴士,来喽!
过去:管理日趋复杂
1999年,非营利研发组织MITRE推出了“通用漏洞与暴露”(CVE )项目。 该项目是一个“词典”,它公开了软件或固件的所有已知漏洞,并允许企业组织查询风险。
2011年,美国国家标准技术研究所开发了国家脆弱性数据库(NVD )。 它是一个综合的网络安全漏洞数据库,整合了所有公开的美国政府漏洞资源,为行业资源提供参考。 基于与CVE列表同步并使用评估系统评估风险重要性的CVE列表。 如今,NVD已成为安全组织跟踪漏洞和基于风险分数确定优先级的有效工具。
从2011年开始,补丁管理开始发展为全行业更好的安全实践。 但是,随着数据库中漏洞的数量增加和IT基础设施的复杂性增加,修补程序管理开始变得越来越复杂。 没有软件更新那么简单。 因为有些系统是关键任务,无法承受中断。 一些组织没有用于定期测试、部署和修补的预算和人力资源。
制作NVD是漏洞和补丁管理的一大进步。 但是,由于新出现的两个问题,当前的安全行业在补丁管理方面面临着挑战。
第一个问题是时间。 延迟问题始终存在,一旦攻击者、研究人员或企业发现漏洞,它们就开始与时间竞争,从漏洞发布到修补程序发布,并修补程序以防止恶意行为者利用漏洞。 过去需要15天到60天,现在减少到两周左右。 但是,并不是每个漏洞都有解决办法。 业界普遍的误解是漏洞都可以通过修补程序修复,但事实并非如此。 数据显示,修补程序管理只能覆盖10%的已知漏洞。 这意味着其他90%的已知漏洞无法修复,组织有两种选择:将——更改为补偿控制或修改代码。
第二个问题是,NVD基本上是由恶意行为者武器化的。 虽然NVD旨在帮助组织抵御威胁行为者,但它也可以用于在短时间内发起攻击性攻击。 在过去的五年中,通过威胁参与者使用自动化和机器学习技术提高了攻击技能。 现在,他们可以根据NVD漏洞数据快速轻松地扫描未打补丁的系统。 自动化和机器学习的兴起使威胁参与者能够快速识别组织使用的软件版本,并通过与NVD交叉检查来识别未打补丁的内容。
现在,发生了“不对称”的战争。 组织希望通过补丁程序管理确保修复所有漏洞,恶意行为者正在寻找尚未修复的漏洞。 在许多情况下,威胁参与者的只有未修复的漏洞,才能破坏安全组织的一切努力。 因此,补丁程序管理不仅是IT部门的责任,也是组织安全的必备要求。目前补丁管理不仅证明组织符合安全法规的强制性要求,也是互联网保险的强制性要求。 随着威胁软件的兴起,涉及生死关键任务的医院系统也受到威胁,补丁管理受到严格审查,是理所当然的。 但是,IT和安全团队太多,跟不上任务的节奏,补丁管理逐渐成为人力无法完成的事情,业界急需新的解决方法。
当前:基于风险优先级策略
修补程序管理有三个主要参与者:安全分析师、IT专业人员和攻击者。 不幸的是,安全团队和IT团队之间存在很多摩擦,无法防御攻击者。 这也带来了“不对称”威胁:攻击者只知道一个弱点和漏洞就能成功,而防御者必须知道所有弱点和漏洞并保护自己。
安全分析师必须不断对网络安全威胁和攻击进行分类和应对。 他们往往使用各种安全工具,浏览威胁资源来评估和了解风险,并始终了解可能对组织产生负面影响的威胁信息、政府警告和安全事件。
因为IT团队的任务是系统可用性和响应性,所以除非明确风险优先级,否则他们会犹豫是否实施修补程序。 他们需要在组织持续运行和实施计划外安全修补程序的必要性之间找到平衡。 如果在没有测试或审阅的情况下安装修补程序,可能会对系统的性能和可靠性产生负面影响。 这些专家经常在孤立的岛上工作,管理着职责范围内的IT维护和风险。
一旦威胁到参与者,他们就会利用这些安全漏洞发动大规模复杂的攻击。 他们利用越来越多的“网络犯罪即服务”来实现最大的影响力。 例如,Conti是当今领先的恐吓软件集团之一,在恐吓软件——服务模式下运行。 美国网络安全基础设施安全(CISA )和联邦调查局(FBI )最近观察到,在对美国和国际机构的400多次攻击中,Conti恐吓软件的使用频率有所增加。
为了打赢软件战争,有效地防范网络犯罪,安全团队和IT团队必须合作。 他们必须为了共同的目标团结起来对抗攻击者配合采摘燕子能得到的所有果实,缩短修补时间,使攻击者难以转移到其他目标上。 这就是基于风险的漏洞管理概念发挥作用的地方。 IT和安全团队并不具备修复所有漏洞的能量。 他们不应该试图修复琐事。 相反,应该根据影响和风险优先级进行修补。
目前有200,000个独特的漏洞,其中22,000个有补丁。 但是,在25,000个因漏洞利用和恶意软件而武器化的漏洞中,只有2,000个应用了补丁。 这意味着IT和安全团队可以优先实施2,000个修补程序,而暂时忽略其他20,000个修补程序。 因此,企业组织必须找出构成最高风险的武器化漏洞。 假设有6,000个武器化漏洞可以远程运行代码,并且有589个修补程序可用。 但是,在这6,000个武器化漏洞中,只有130个处于活动状态。 也就是说,攻击者会野生攻击这些漏洞。 对于这130个活动漏洞,有68个修补程序可用。 IT和安全团队必须优先实施这68个补丁程序。主要安全公司、员工和分析公司建议使用基于风险的方法来识别漏洞、确定优先级和加快修复。 此外,美国白宫日前发布了一份备忘录,鼓励组织使用基于风险的评估战略推进补丁程序管理,加强网络安全免受威胁软件攻击。 这意味着组织必须集中精力修复最高级别的风险漏洞。 因此,组织需要深入了解每个补丁、可用的、武器化的、与恐吓软件相关的漏洞。 通过将基于风险的漏洞优先级与自动化修补程序相结合,组织可以根据威胁风险对修补程序进行优先级排序。
未来:向超自动化发展
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
