攻防演練之戰前掃雷:漏洞管理的5大措施

語言: CN / TW / HK

在攻防演練過程中,紅隊作為攻擊方,會在初始環節通過各種手段進行資訊偵察,尋找防守方的脆弱點,以此作為入侵防守方的跳板。而數量不斷攀升的漏洞,則成為紅隊進行攻擊的重要突破口。2021年,新增漏洞創下歷史新高,首次超過了20,000個,達到20,175個CVE,比2020年增長了10%,這是自2018年以來最大的增長。

圖1:2017-2022年新增漏洞情況

在漏洞數量快速增長,攻擊者攻擊手段不斷更新的情況下,沒有一個行業是安全的,甚至我們賴以生存的能源、水和食物等關鍵基礎設施也受到攻擊。根據 Ponemon 研究所與 IBM 釋出的《2021 資料洩露成本報告》顯示,2021 年資料洩露的平均成本是 424 萬美元。因此,漏洞管理不容忽視。

圖2:2015-2021年資料洩露的平均成本

有資料顯示,90%的攻擊事件都利用了未修補的漏洞,且攻擊手段不斷變化,網路安全狀況也在隨著安全漏洞的增加變得日益嚴峻。但面對如此龐大的漏洞數量和嚴峻的安全形勢,防守方在攻防演練中,該從何處著手進行有效的漏洞管理呢? 詳細解決方案,請掃描下方二維碼下載《2022漏洞管理指南》。

圖3:《2022漏洞管理指南》目錄

掃描二維碼下載《2022漏洞管理指南》

漏洞管理面臨的四大挑戰

隨著漏洞數量逐年攀升,IT基礎設施複雜性不斷增加,漏洞管理變得越來越艱難。在網路安全領域,攻防雙方向來是不對等的。攻擊方只要找到一個漏洞,就可以突破整個防禦體系。而防守方卻需要找到所有漏洞,才能防止攻擊者攻擊成功。面對這種窘境,每一個被忽略的漏洞,都可能會成為紅隊突破防禦體系的地雷。在多年的一線實戰中,我們發現,防守方在處理漏洞管理時通常會面臨以下問題。

資產清點不完整: 許多公司的資產清點資料非常少。在攻防演練這類高強度對抗中,一旦發現漏洞,防守方需要迅速通過資產列表來確定有多少資產受到該漏洞影響、都分佈在哪裡、以及有多少資產可以被安全修補。但如果沒有每個資產的詳細情況,就不太可能找到受影響的資產。你無法保護你看不到的東西。細粒度的資產清點對於高效的漏洞管理至關重要。掌握資產資訊越多,漏洞分析和優先排序能力就越強。

漏洞難識別: 漏洞掃描的目的是識別系統的脆弱點,以便迅速確保基礎設施的漏洞不被利用。但通常漏洞掃描會消耗一定的網路頻寬資源,影響系統的正常執行。而且,漏掃工具自身可能存在漏洞,並不能收集100%的漏洞資訊。而基於Agent的主機安全防護系統則是解決這一問題的不二之選。詳細掌握了資產情況以及對資產及漏洞的實時覆蓋情況,就距離保護最關鍵資產又近了一步。

漏洞進行優先排序難: 根據ESG研究顯示,34%的安全人員表示,其漏洞管理中面臨的最大挑戰就是不知道該優先處理哪些漏洞。面對成百上千的漏洞,感覺有點像在玩打地鼠遊戲,看不到盡頭。為了確定修復漏洞的優先次序,企業需要進行360度的風險評估,包括CVE或CVSS之外的全面風險評分。以詳細的資產資訊作為漏洞管理的基礎,最關鍵或最有風險的資產有助於確定優先順序,因為每個關鍵漏洞對作業系統的安全風險不盡相同。

漏洞 難補救 補救漏洞的方式通常是打補丁或更新供應商釋出的軟體和錯誤修復。如果60%的漏洞有可用但未應用的補丁,那問題就很好解決了,但事情並沒那麼簡單。首先,有資料顯示,補丁管理只能覆蓋10%的已知漏洞,這意味著其他90%的已知漏洞無法修補。其次,即便是有補丁,但面對數量如此龐大的漏洞,企業也很少有足夠的人力、物力和財力來針對這些漏洞進行測試和修復。這時,能夠自動化處理漏洞的工具便成為了漏洞管理的重要利器。

改善漏洞管理的五大措施

針對企業在漏洞管理方面存在以上挑戰,我們建議企業在參與攻防演練前採取以下五大措施來改善漏洞管理,掃除基礎設施中隱藏的“地雷”。

定期進行滲透測試: 網路安全應優先考慮針對外部攻擊的網路安全,在攻防演練中主要是紅隊穿透網路。滲透測試在網路安全威脅管理方面是公認有效的手段。它通過檢測和修復漏洞,確保企業的網路安全。通過滲透測試定期進行漏洞管理可以讓組織機構詳細地瞭解安全漏洞並採取相應的控制措施。有關滲透測試的詳細資訊,請參見 《知己知彼:怎樣選擇一家靠譜的滲透測試服務商?滲透測試提供商選型指南》

制定漏洞補丁時間計劃表: 組織機構需要定期進行軟體更新,因為供應商的軟體始終在不斷迭代和改進。進行軟體更新後,可以對抵禦攻擊者起到最佳作用。但在進行更新前,需要對更新版本進行測試,以免更新後出現問題。

進行細粒度的IT資產盤點: 在對軟體進行漏洞研究的同時,硬體也需要關注,不應該被遺忘。老舊的或被遺忘的硬體或程式很容易成為攻擊者的目標。這類資產會成為企業的嚴重漏洞,因此,組織機構需要定期跟蹤或清點軟硬體資產。 青藤萬相可以通過設定檢查規則,自動檢查已安裝探針主機,以及所在網路空間未納入安全管理的主機,包括老舊的或被遺忘的伺服器。此外,青藤萬相的資產清點功能可根據使用者需要,自定義時間週期,自動化構建細粒度資產資訊,可對主機資產、應用資產、Web 資產等進行全面清點,保證使用者可實時掌握所有主機資產情況。

隨時更新網路威脅情報: 隨著網路威脅數量不斷增長,組織機構掌握的威脅資訊總是很少,因此,組織機構需要不斷了解並識別最新威脅和漏洞。關注和跟蹤潛在漏洞有助於組織機構改善網路安全狀況,避免最新的威脅。

加強網路安全基礎設施的管理: 組織機構需要保持良好的網路安全實踐,以改善基礎設施的安全性。員工和工作人員應正確理解網路安全最佳實踐,並按此行事。任何疏忽或不良實踐都可能導致發生漏洞利用。因此,定期更新和適當的員工培訓,有助於實現網路安全最佳實踐。

總結

面對龐大的漏洞數量,漏洞管理變得越來越艱難,但縱觀嚴峻的網路安全形勢,制定高效的漏洞管理方案卻是刻不容緩。在攻防演練中,每一個被忽略的漏洞都可能會成為防守方看似銅牆鐵壁的防禦體系中的隱藏地雷。這需要企業在事前採取高效的漏洞管理流程和措施,做好安全防備。 有關漏洞管理的更多資訊,請掃碼下載《2022漏洞管理指南》。

-完-