如何在當今不斷變化的威脅環境中,實現漏洞管理的現代化

語言: CN / TW / HK

目前許多組織繼續依賴於傳統的漏洞管理解決方案、風險評估,以及必須手動應用的一長串補丁和安全控制更改。統計資料表明,這是行不通的,近70%的組織仍然容易受到WannaCry攻擊,超過 80% 的組織認為他們容易因配置錯誤而受到攻擊。

這篇文章介紹了當今的威脅格局是如何演變的,它給努力應對當前漏洞管理實踐的安全團隊帶來了難以承受的壓力。然後,我們將探討漏洞管理的一些最佳實踐,並討論人工智慧與人類智慧如何幫助實現漏洞管理的現代化。

為什麼需要一種新的漏洞管理方法

在2022年第一季度,確認了8000個新的漏洞。縱觀 CVE 詳細資訊中報告的所有漏洞,11% 為高危漏洞。此外,Edgescan的2022漏洞統計報告證實,在面向網際網路的應用程式中,10%的漏洞被認為是高風險或嚴重風險。

利用雲服務已是當今許多組織的選擇,因此攻擊者也非常關注識別雲漏洞。當所有已發現的漏洞中,很明顯,微軟產品佔比最多,且很多都是高危漏洞。這些雲漏洞中的許多都依賴於雲服務提供商(cloud Service Provider, CSP)來解決。

縱觀雲服務行業,產品的攻擊面越來越多,因此,在這樣一個網路安全環境中,威脅格局持續快速演變並不奇怪。根據IBM的資料,一個攻擊從研發到結束平均生命週期為287天。今天,大多數惡意軟體是多形態的,這意味著它的可識別特徵不斷變化,以逃避傳統的防禦機制。網路罪犯越來越多地利用 “living off the land” (LotL)技術,允許他們使用作業系統或使用者的二進位制檔案進行惡意活動。

此外,由於許多現代應用程式和雲服務在配置時沒有考慮到安全性,攻擊者越來越多地針對服務錯誤配置環境為攻擊目標。在如此快速發展的威脅環境中,許多現有的安全工具和流程無法再擴充套件併為組織提供足夠的覆蓋範圍。

鑑於已發現漏洞的增加、威脅環境的不斷複雜化以及數字資產的指數級增長,我們需要一種新的方法來管理組織如何管理漏洞評估和緩解。

當今的漏洞管理模式出了什麼問題?

從歷史上看,許多組織依靠傳統的威脅和漏洞管理 (TVM) 解決方案和專業服務對環境執行及時掃描,以識別可能的漏洞和錯誤配置,然後安全團隊需要根據通常冗長的所需列表採取行動手動緩解。至少,這是關於組織應該如何處理漏洞的理論。

然而,在實踐中,由於缺乏資源或所需更改的複雜性,許多已確定的所需緩解措施(如待處理的作業系統或應用程式補丁或安全控制的調整)將不會應用,因此幾個月後,當安全團隊進行了另一次評估,他們會找到類似的補救建議。

令人震驚的是,今天許多安全顧問證實,在6到12個月後,他們幾乎可以在訪問同一個組織進行另一次風險評估時提交相同的風險報告,因為該組織沒有實施所需的更改。這不僅從安全形度來看令人震驚,從金融和風險角度來看也令人震驚。從本質上講,許多組織定期為風險評估付費,但他們的整體風險水平並沒有提高。

考慮到所有這些,組織通常幾乎無法專注於修復其作業系統中的關鍵漏洞,也沒有足夠的資源專注於其他任何事情,這就給網路罪犯的身份、應用程式和雲基礎設施留下了一個巨大的攻擊面。

鑑於當今漏洞管理計劃面臨的挑戰和限制,作為維護者,我們需要一種新的方法來管理我們數字資產中的漏洞風險。一種允許人類操作員集中精力並確定優先順序的方法,而人工智慧則提供實時資產發現、漏洞檢測、風險評估和網路風險的自動補救。

漏洞管理最佳實踐

1. 實時尋找可能的攻擊面

終端、移動裝置、物聯網裝置和軟體即服務 (SaaS) 應用程式等非託管資產對組織來說是一個重大風險。 DoControl 的研究發現,高達 40% 的 SaaS 資料訪問是不受管理的。因此,對於一個組織來說,要識別其整個攻擊面,首先要能夠定位其所有資產,這一點至關重要。簡單地說,你無法保護你不知道存在的東西。為了幫助這項工作,現代漏洞管理解決方案通過利用託管資產作為信標來發現環境中的非託管資產,從而結合資產發現功能。

2. 使用持續漏洞評估

由於漏洞數量龐大,聘請第三方顧問進行定期風險評估的傳統方法已經過時。現如今,可以利用技術方式來執行連續和實時的漏洞檢測和分析。現代漏洞管理解決方案通過利用雲處理能力和人工智慧 (AI) 來經常模擬傳統的定期和手動風險評估會實時執行的操作。這些解決方案首先根據供應商和行業最佳實踐(如 CIS 基準)持續掃描所有資產。本質上,該解決方案是根據配置基線和最佳實踐驗證當前狀態。

3. 瞭解漏洞的危險性

並非所有漏洞都同樣重要。讓我們從瞭解不同型別的漏洞開始:

未打補丁的軟體:無論我們談論作業系統還是使用者應用程式,未打補丁的軟體通常是研究漏洞管理時首先想到的。網路犯罪分子可以利用這些未修補的漏洞侵入環境或竊取敏感資料。

弱授權:網路犯罪分子利用弱授權協議和弱密碼策略強行進入操作環境。這就是為什麼採用現代身份驗證方法、條件訪問和多因素身份驗證 (MFA) 等事情至關重要的原因。

錯誤配置:不管我們討論的是作業系統、使用者應用程式還是雲服務,所有這些都可能因為錯誤配置而暴露出來。Check Point釋出的2022年雲安全報告證實,27%的組織在其公共雲基礎設施中經歷過安全事件,而其中23%是由雲配置錯誤引起的。

零日漏洞:零日漏洞是最近發現的系統中的漏洞,但供應商尚未為其提供緩解措施。當發現新的零日漏洞時,我們經常看到攻擊者的大規模活動有所增加。例如 WannaCry、NotPetya、Kaseya 或 SolarWinds 等全球活動。

現在我們瞭解了漏洞是什麼,讓我們來看看漏洞與漏洞利用之間的區別:

漏洞:漏洞是一種理論上可以被利用的意外設計缺陷。

漏洞利用:漏洞利用是某人執行的一系列活動,這些活動利用漏洞執行不需要的和未經授權的操作。

因此,在風險和暴露管理的背景下,瞭解組織的脆弱性以及如何利用它至關重要。這將有助於確定組織應以多快的速度響應其環境中新發現的漏洞的優先順序。這正是傳統漏洞管理解決方案失敗的原因,因為它們經常錯過漏洞和利用之間的聯絡。

這就是為什麼現代漏洞管理解決方案正在融合到擴充套件檢測響應(XDR)平臺,因為它允許供應商通過將識別的漏洞與來自其身份威脅檢測響應(ITDR)和端點檢測響應(EDR)功能的監測技術相關聯,為組織提供實時的風險和暴露評估。

4. 利用安全態勢管理

自然,在確定風險和漏洞暴露後,下一步是確定組織如何降低暴露的風險。在這種情況下,組織本質上是希望瞭解如何補救這個漏洞。

為此,我們需要將已確認的問題與受影響資產的當前配置狀態相關聯。這將使組織找到前進的最佳路徑。

這就是現代漏洞管理解決方案利用安全態勢管理功能的原因。它們將使他們能夠比較當前狀態與最佳實踐,併為組織提供補救建議。

5.採用自動工作優先順序

雖然上一步側重於自動識別補救需求,但自動工作優先順序化的步驟有助於提供更大的保護。

但不管怎樣,漏洞總是存在的,我們也總是需要做一些事情來減少受攻擊面。因此,我們需要通過清楚地瞭解暴露的風險來確定工作的優先順序。

技術可以幫助識別漏洞,提供補救建議,並在一定程度上自動根據可能的影響確定工作的優先次序。然而,安全團隊最瞭解他們的環境,並在根據他們對環境的深入瞭解確定所需工作的優先順序方面發揮著至關重要的作用。

6. 使用試點小組來測試修復

漏洞管理的最大挑戰之一通常是修復。原因是許多推薦的活動應該直接針對整個數字資產,即使某些補救步驟可能會從根本上改變他們的企業架構。因此,由於擔心破壞現有的正常執行的業務流程和系統,組織通常擔心進行這些更改,這可能會增加工作量。因此,建議對於大多數漏洞,修復活動首先針對已定義的試點組,然後在整個團隊中推廣。

7. 實現自動修復

一旦IT和安全團隊對試點小組中實施的補救措施有信心,就該在數字產業中逐步推出修復措施了。此時,破壞業務流程和系統功能的風險應該是最小的。

人工智慧與人類智慧相結合

根據實踐,人工智慧和人類在決策方面仍然存在分歧。我們永遠不應該期望人工智慧具有直覺性、道德性或戰略性。在這些領域,我們仍然不可避免地需要人類參與其中。這些都是人類智力資本表現出色的領域。我們還必須意識到,我們永遠不應該指望人類操作員在諸如在大型資料集中搜尋異常現象、彙總數十億事件以確定基線趨勢或測試假設等任務上具有同樣的效率或效率。這些都是人工智慧具有明顯優勢的領域。

人工智慧帶來了收集和分析大量複雜資料的能力。它們可以在大量資訊中篩選,所需時間非常少。這意味著資料在被分析時仍然是及時的,而如果是人類在做,攻擊可能在進入該組織幾周後就會被發現。

總結

漏洞總是存在的,威脅格局將繼續演變,攻擊面將繼續增加。作為防禦者,我們正處於一個關鍵時刻,我們需要研究如何使我們的脆弱性管理方法現代化。定期的、手工的和孤立的風險評估時間不再有效,也無法擴充套件。

正如我們從傳統的基於簽名的安全解決方案轉向基於行為的檢測和響應方法一樣,我們需要使漏洞管理方法現代化。