攻防演练之战前扫雷:漏洞管理的 5 大措施
在攻防演练过程中,红队作为攻击方,会在初始环节通过各种手段进行信息侦察,寻找防守方的脆弱点,以此作为入侵防守方的跳板。而数量不断攀升的漏洞,则成为红队进行攻击的重要突破口。2021 年,新增漏洞创下历史新高,首次超过了 20,000 个,达到 20,175 个 CVE,比 2020 年增长了 10%,这是自 2018 年以来最大的增长。
图 1:2017-2022 年新增漏洞情况
在漏洞数量快速增长,攻击者攻击手段不断更新的情况下,没有一个行业是安全的,甚至我们赖以生存的能源、水和食物等关键基础设施也受到攻击。根据 Ponemon 研究所与 IBM 发布的《2021 数据泄露成本报告》显示,2021 年数据泄露的平均成本是 424 万美元。因此,漏洞管理不容忽视。
图 2:2015-2021 年数据泄露的平均成本
有数据显示,90%的攻击事件都利用了未修补的漏洞,且攻击手段不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。但面对如此庞大的漏洞数量和严峻的安全形势,防守方在攻防演练中,该从何处着手进行有效的漏洞管理呢?详细解决方案,请扫描下方二维码下载《2022 漏洞管理指南》。
图 3:《2022 漏洞管理指南》目录
扫描二维码下载《2022 漏洞管理指南》
漏洞管理面临的四大挑战
随着漏洞数量逐年攀升,IT 基础设施复杂性不断增加,漏洞管理变得越来越艰难。在网络安全领域,攻防双方向来是不对等的。攻击方只要找到一个漏洞,就可以突破整个防御体系。而防守方却需要找到所有漏洞,才能防止攻击者攻击成功。面对这种窘境,每一个被忽略的漏洞,都可能会成为红队突破防御体系的地雷。在多年的一线实战中,我们发现,防守方在处理漏洞管理时通常会面临以下问题。
资产清点不完整:许多公司的资产清点数据非常少。在攻防演练这类高强度对抗中,一旦发现漏洞,防守方需要迅速通过资产列表来确定有多少资产受到该漏洞影响、都分布在哪里、以及有多少资产可以被安全修补。但如果没有每个资产的详细情况,就不太可能找到受影响的资产。你无法保护你看不到的东西。细粒度的资产清点对于高效的漏洞管理至关重要。掌握资产信息越多,漏洞分析和优先排序能力就越强。
漏洞难识别:漏洞扫描的目的是识别系统的脆弱点,以便迅速确保基础设施的漏洞不被利用。但通常漏洞扫描会消耗一定的网络带宽资源,影响系统的正常运行。而且,漏扫工具自身可能存在漏洞,并不能收集 100%的漏洞信息。而基于 Agent 的主机安全防护系统则是解决这一问题的不二之选。详细掌握了资产情况以及对资产及漏洞的实时覆盖情况,就距离保护最关键资产又近了一步。
漏洞进行优先排序难:根据 ESG 研究显示,34%的安全人员表示,其漏洞管理中面临的最大挑战就是不知道该优先处理哪些漏洞。面对成百上千的漏洞,感觉有点像在玩打地鼠游戏,看不到尽头。为了确定修复漏洞的优先次序,企业需要进行 360 度的风险评估,包括 CVE 或 CVSS 之外的全面风险评分。以详细的资产信息作为漏洞管理的基础,最关键或最有风险的资产有助于确定优先级,因为每个关键漏洞对操作系统的安全风险不尽相同。
漏洞难补救:补救漏洞的方式通常是打补丁或更新供应商发布的软件和错误修复。如果 60%的漏洞有可用但未应用的补丁,那问题就很好解决了,但事情并没那么简单。首先,有数据显示,补丁管理只能覆盖 10%的已知漏洞,这意味着其他 90%的已知漏洞无法修补。其次,即便是有补丁,但面对数量如此庞大的漏洞,企业也很少有足够的人力、物力和财力来针对这些漏洞进行测试和修复。这时,能够自动化处理漏洞的工具便成为了漏洞管理的重要利器。
改善漏洞管理的五大措施
针对企业在漏洞管理方面存在以上挑战,我们建议企业在参与攻防演练前采取以下五大措施来改善漏洞管理,扫除基础设施中隐藏的“地雷”。
定期进行渗透测试:网络安全应优先考虑针对外部攻击的网络安全,在攻防演练中主要是红队穿透网络。渗透测试在网络安全威胁管理方面是公认有效的手段。它通过检测和修复漏洞,确保企业的网络安全。通过渗透测试定期进行漏洞管理可以让组织机构详细地了解安全漏洞并采取相应的控制措施。有关渗透测试的详细信息,请参见《知己知彼:怎样选择一家靠谱的渗透测试服务商?渗透测试提供商选型指南》。
制定漏洞补丁时间计划表:组织机构需要定期进行软件更新,因为供应商的软件始终在不断迭代和改进。进行软件更新后,可以对抵御攻击者起到最佳作用。但在进行更新前,需要对更新版本进行测试,以免更新后出现问题。
进行细粒度的 IT 资产盘点:在对软件进行漏洞研究的同时,硬件也需要关注,不应该被遗忘。老旧的或被遗忘的硬件或程序很容易成为攻击者的目标。这类资产会成为企业的严重漏洞,因此,组织机构需要定期跟踪或清点软硬件资产。青藤万相可以通过设置检查规则,自动检查已安装探针主机,以及所在网络空间未纳入安全管理的主机,包括老旧的或被遗忘的服务器。此外,青藤万相的资产清点功能可根据用户需要,自定义时间周期,自动化构建细粒度资产信息,可对主机资产、应用资产、Web 资产等进行全面清点,保证用户可实时掌握所有主机资产情况。
随时更新网络威胁情报:随着网络威胁数量不断增长,组织机构掌握的威胁信息总是很少,因此,组织机构需要不断了解并识别最新威胁和漏洞。关注和跟踪潜在漏洞有助于组织机构改善网络安全状况,避免最新的威胁。
加强网络安全基础设施的管理:组织机构需要保持良好的网络安全实践,以改善基础设施的安全性。员工和工作人员应正确理解网络安全最佳实践,并按此行事。任何疏忽或不良实践都可能导致发生漏洞利用。因此,定期更新和适当的员工培训,有助于实现网络安全最佳实践。
总结
面对庞大的漏洞数量,漏洞管理变得越来越艰难,但纵观严峻的网络安全形势,制定高效的漏洞管理方案却是刻不容缓。在攻防演练中,每一个被忽略的漏洞都可能会成为防守方看似铜墙铁壁的防御体系中的隐藏地雷。这需要企业在事前采取高效的漏洞管理流程和措施,做好安全防备。有关漏洞管理的更多信息,请扫码下载《2022 漏洞管理指南》。
评论