您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
最佳網(wǎng)絡(luò)安全策略:全面資產(chǎn)管理
全面資產(chǎn)管理不是誘人的尖端算法,但研究顯示,這是緩解常見漏洞利用的最佳工具。
美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA)、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)、英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)和美國(guó)聯(lián)邦調(diào)查局(FBI)共同推出聯(lián)合網(wǎng)絡(luò)安全咨詢報(bào)告,列舉2020年經(jīng)常被利用的30個(gè)頂級(jí)漏洞,清晰昭示保持軟件資產(chǎn)修復(fù)與合規(guī)的重要性。
本文將詳細(xì)介紹聯(lián)合咨詢中的主要發(fā)現(xiàn),探討確保能跟蹤所有軟件資產(chǎn)清單的技術(shù),并最終凸顯增強(qiáng)可見性可縮短修復(fù)時(shí)間線的事實(shí)。
攻擊者日益激進(jìn)
這份聯(lián)合網(wǎng)絡(luò)安全咨詢報(bào)告題為《常被利用的頂級(jí)漏洞》,揭示2020年最常被利用的12個(gè)頂級(jí)CVE中有四個(gè)都是當(dāng)年披露的。有鑒于這些CVE中很多都是年中披露的,我們可以看出,攻擊者真是一刻都等不及,幾乎是漏洞一出就添加到他們的武器庫(kù)中了。拉長(zhǎng)時(shí)間線觀察,全部12個(gè)頂級(jí)CVE皆是在2017-2020這三年間曝光的。坦率地說,這項(xiàng)研究表明,過去幾周內(nèi)披露的嚴(yán)重CVE都極有可能被利用。
如果坐等六周以上才修復(fù)或更新系統(tǒng),可能就太遲了。企業(yè)的修復(fù)流程往往費(fèi)時(shí)費(fèi)力,常會(huì)耗費(fèi)數(shù)周到數(shù)月不等的時(shí)間。過長(zhǎng)的修復(fù)周期就是攻擊者利用安全漏洞的大好機(jī)會(huì)。
有效資產(chǎn)管理應(yīng)該是動(dòng)態(tài)的,并且能夠應(yīng)對(duì)當(dāng)今各種新興威脅。所以,行業(yè)標(biāo)準(zhǔn)18項(xiàng)互聯(lián)網(wǎng)安全中心控制措施(CIS Controls)(此前的SANS Top 20)將軟件和硬件資產(chǎn)清單列為最重要的兩個(gè)安全實(shí)踐重點(diǎn)領(lǐng)域,幫助創(chuàng)建持續(xù)的漏洞管理系統(tǒng)。
全面的資產(chǎn)可見性和管理是打造企業(yè)安全狀態(tài)的基礎(chǔ)。通過全面映射企業(yè)環(huán)境,企業(yè)能夠輕松地大規(guī)模管理各種資產(chǎn)。隨著企業(yè)的發(fā)展壯大,企業(yè)的攻擊面變得越來越復(fù)雜,面臨著軟件和硬件遭惡意染指的風(fēng)險(xiǎn)。跟蹤每個(gè)端點(diǎn)便成為了良好安全實(shí)踐必不可少的第一步。
衡量即完成
相較于采用時(shí)間點(diǎn)工具的傳統(tǒng)供應(yīng)商,擴(kuò)展檢測(cè)與響應(yīng)(XDR)解決方案提供統(tǒng)一的平臺(tái),可全面盤點(diǎn)和保護(hù)云、容器和傳統(tǒng)端點(diǎn)資產(chǎn)。借助XDR平臺(tái),企業(yè)可以匯總實(shí)時(shí)資產(chǎn)清單并深入了解自身環(huán)境中發(fā)生的種種情況。
頂級(jí)XDR解決方案會(huì)梳理源自各個(gè)資產(chǎn)的數(shù)據(jù)流,規(guī)范化存儲(chǔ)到數(shù)據(jù)庫(kù)中,方便用戶查詢。這意味著,無論是對(duì)容器配置有疑問,還是要進(jìn)行實(shí)時(shí)應(yīng)用審計(jì),或者想搜索特定軟件包的信息,XDR平臺(tái)都可以即時(shí)給出答案。
采用XDR解決方案,你可以在儀表板上總覽全部資產(chǎn),然后無縫深入了解各個(gè)資產(chǎn)的具體情況。
如果采用統(tǒng)一資產(chǎn)管理平臺(tái)應(yīng)對(duì)新興威脅,安全團(tuán)隊(duì)可以更快地分析、檢測(cè)和采取響應(yīng)措施。擴(kuò)展保護(hù)不僅僅是可見性的問題:企業(yè)可以配置所用平臺(tái),讓平臺(tái)去執(zhí)行繁瑣任務(wù),解放安全團(tuán)隊(duì)的雙手,還可以通過平臺(tái)實(shí)時(shí)獲取關(guān)于資源過載、安全故障和罕見異常的詳情。
重建歷史配置可以了解之前的安全狀態(tài),或者特定軟件是否造成了性能問題。最佳做法是存儲(chǔ)過去30到90天的歷史數(shù)據(jù)。歷史數(shù)據(jù)是確定隨時(shí)間推移的風(fēng)險(xiǎn)的強(qiáng)大工具,且可供查詢機(jī)器的實(shí)時(shí)狀態(tài)或之前的狀態(tài)。
可見性縮短修復(fù)生命周期
面對(duì)新興關(guān)鍵漏洞,XDR解決方案可以大幅縮短原本需要數(shù)月之久的修復(fù)周期。我們不妨先分解傳統(tǒng)漏洞管理周期,然后確定改善資產(chǎn)可見性能夠減輕IT員工工作壓力并加快修復(fù)進(jìn)程的那些領(lǐng)域。
傳統(tǒng)的軟件漏洞修復(fù)過程:
1、新的關(guān)鍵CVE出現(xiàn)了。安全團(tuán)隊(duì)往往會(huì)在關(guān)鍵CVE披露時(shí)獲悉情況,但這一發(fā)現(xiàn)與體量較小的供應(yīng)商有關(guān),因此不會(huì)像微軟或大型網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞那樣直擊新聞?lì)^條,引起足夠重視。
2、你擁有傳統(tǒng)漏洞掃描工具,可以掃描部署了此代理的資產(chǎn)上的所有軟件,獲得時(shí)間點(diǎn)分析結(jié)果。這種掃描操作會(huì)導(dǎo)致資源利用率激增,因此只能每天或每周執(zhí)行一次。你的安全團(tuán)隊(duì)人手不足,而且早已過勞,只能每周或每?jī)芍荛_次會(huì)看一下掃描結(jié)果。你配置了警報(bào)和儀表板,但待修復(fù)的CVE積壓太多,有價(jià)值的新發(fā)現(xiàn)被噪音淹沒,沒有激起一點(diǎn)水花。
3、一周過去了,安全團(tuán)隊(duì)總算看到了這個(gè)新發(fā)現(xiàn)。似乎還挺重要,但優(yōu)先級(jí)該排哪個(gè)檔次尚不明確。團(tuán)隊(duì)決定將其作為下次會(huì)議討論的事項(xiàng)。
4、新發(fā)現(xiàn)的漏洞擺到了兩周一次的會(huì)議上。提出的問題諸如:這個(gè)軟件運(yùn)行在什么資產(chǎn)上?會(huì)是誤報(bào)嗎?誰(shuí)在維護(hù)運(yùn)行這個(gè)軟件的資產(chǎn)?誰(shuí)有空處理?這個(gè)漏洞的嚴(yán)重情況如何?面向互聯(lián)網(wǎng)的資產(chǎn)上存在這個(gè)漏洞嗎?如果存在,這種資產(chǎn)有多少?這些資產(chǎn)上有沒有敏感數(shù)據(jù)?話說,我們到底有沒有資產(chǎn)清單可以告訴我們到底都有哪些資產(chǎn)上運(yùn)行著這個(gè)軟件?我們聯(lián)系下開發(fā)團(tuán)隊(duì)或者運(yùn)營(yíng)團(tuán)隊(duì),了解下修改配置或升級(jí)軟件會(huì)對(duì)當(dāng)前穩(wěn)定版造成什么影響吧。
5、還需要幾天時(shí)間才能全面了解該軟件的運(yùn)行位置、運(yùn)行該軟件的資產(chǎn)想用它干什么,以及這些資產(chǎn)在互聯(lián)網(wǎng)上的暴露情況如何。漏洞披露兩周后,團(tuán)隊(duì)終于確定自家環(huán)境存在這個(gè)問題,而且問題還挺嚴(yán)重。
6、你的團(tuán)隊(duì)開啟修復(fù)進(jìn)程。盡管問題亟待解決,關(guān)鍵業(yè)務(wù)生產(chǎn)運(yùn)營(yíng)也不能停。你需要幾周到幾個(gè)月的時(shí)間走通在最低級(jí)別的測(cè)試環(huán)境中進(jìn)行修復(fù)的所有步驟,觀察對(duì)性能的影響。然后,確保測(cè)試環(huán)境中修復(fù)過程穩(wěn)定后,你才會(huì)考慮將之逐步應(yīng)用到更高級(jí)別的環(huán)境中,最終直至生產(chǎn)環(huán)境。
7、最后,幾個(gè)月的周期以生產(chǎn)環(huán)境修復(fù)而告終,你按照建議升級(jí)或重配置資產(chǎn),成功緩解了新發(fā)現(xiàn)的CVE。
這個(gè)場(chǎng)景中,你可以看到從CVE披露,內(nèi)部通告,團(tuán)隊(duì)了解全貌,確定修復(fù)優(yōu)先級(jí),到實(shí)現(xiàn)并測(cè)試修復(fù)程序之間,到底耗費(fèi)了多少時(shí)間。盡管公司當(dāng)前的修復(fù)實(shí)踐可能不用走完上述所有步驟,但這里的關(guān)鍵是:廣泛的可見性和資產(chǎn)管理可以有效縮短以下兩個(gè)階段的時(shí)間:1)了解問題全貌;2)自信實(shí)施修復(fù)。XDR工具可以快速回答關(guān)于漏洞波及范圍和處理優(yōu)先級(jí)的問題,還有助于了解補(bǔ)丁或升級(jí)可能對(duì)運(yùn)營(yíng)產(chǎn)生的影響。
增強(qiáng)的可見性和洞察力讓團(tuán)隊(duì)能夠立即了解問題全貌,并回答上述圍繞資產(chǎn)所有權(quán)、數(shù)據(jù)敏感性和最終優(yōu)先級(jí)確定的關(guān)鍵問題。傳統(tǒng)方式過度依賴跨團(tuán)隊(duì)溝通或關(guān)鍵內(nèi)部人員。而借助統(tǒng)一管理平臺(tái),安全團(tuán)隊(duì)可以快速評(píng)估企業(yè)全部資產(chǎn),實(shí)時(shí)篩選出哪些資產(chǎn)具有最高優(yōu)先級(jí)。立即確定哪些資產(chǎn)子集具有最高優(yōu)先級(jí),或評(píng)估是否有合理的補(bǔ)償控制措施來緩解新出現(xiàn)的CVE。
在修復(fù)階段,實(shí)施修復(fù)需要時(shí)間,因?yàn)榈迷隽勘O(jiān)控和推出補(bǔ)丁或更新的配置。這些延遲讓攻擊者有更多時(shí)間滲入企業(yè)環(huán)境并提取敏感數(shù)據(jù)。通過全面監(jiān)控開發(fā)、測(cè)試和生產(chǎn)環(huán)境中各個(gè)端點(diǎn)的性能,即時(shí)捕獲應(yīng)用修復(fù)程序所產(chǎn)生的任何性能問題,覆蓋整個(gè)修復(fù)生命周期的全面可見性可以減少驗(yàn)證修復(fù)所需的時(shí)間。在當(dāng)今威脅環(huán)境中,等待數(shù)天或數(shù)周才能將補(bǔ)丁逐步挪到更高環(huán)境的傳統(tǒng)方法不再可行,而XDR解決方案可為團(tuán)隊(duì)提供更廣泛的可見性,從而使安全團(tuán)隊(duì)能夠自信地面向整個(gè)環(huán)境推出更新,并顯著縮短驗(yàn)證修復(fù)程序的耗時(shí)。
沒人能預(yù)測(cè)下一個(gè)威脅是什么樣子的,但我們可以為團(tuán)隊(duì)準(zhǔn)備最好的工具和流程,方便他們自信應(yīng)對(duì)任何類型的CVE。安全團(tuán)隊(duì)可以憑借更廣泛的可見性、獨(dú)特的洞察力和實(shí)時(shí)資產(chǎn)管理,為明天的威脅做好準(zhǔn)備。
《聯(lián)合網(wǎng)絡(luò)安全咨詢:常被利用的頂級(jí)漏洞》:
https://us-cert.cisa.gov/sites/default/files/publications/AA21-209A_Joint_CSA%20Top%20Routinely%20Exploited%20Vulnerabilities.pdf
來源:數(shù)世咨詢