適當的補丁管理是網絡安全衛生的重要組成部分。如果組織不及時修復軟件錯誤,他們就有可能面臨各種威脅。但爭先恐後地修復由常見漏洞和披露 (CVE) 程序識別的錯誤並不是一個完整的解決方案。組織需要做更多的事情。
CVE 和 CVSS 程序是大多數組織信息安全管理系統 (ISMS) 的重要組成部分,但它們顯然存在問題。 CVE 計劃為公開已知的漏洞和風險提供參考。 CVSS 提供了一種方法來捕獲漏洞的主要特徵並生成反映其嚴重性的數字分數。在這些計劃的眾多挑戰中,CVSS 並不是 CVE 給組織帶來的風險的真實指示。那是因為它試圖將環境考慮在內,但這樣做收效甚微。
組織的風險大小完全取決於其業務狀況,而不是 CVSS 分數。此外,支撐 CVE 的數學模型存在缺陷,部分原因是低 CVE 分數在數據中的代表性不足。低 CVE 可能正是影響您公司的漏洞。 (關於數學問題的更多細節可以在這裡找到可預測軟件理論,對 CVE 背後的數學進行了深入的分析得分以“了解它是如何工作的,它擅長什麼,不擅長什麼。”)
此外,每天還有超過50個CVE發布。期望安全團隊檢查所有這些是不合理的,即使他們檢查了,也不是每個 CVE 都包含團隊有效安裝補丁所需的所有信息。團隊可以確定重要 CVE 的優先級,但並不總是很清楚哪些 CVE 實際上給給定環境帶來的風險最大。例如,考慮第三方插件。如果組織使用 WordPress 等平台,有效且及時的補丁管理應確保核心應用程序的安全。但是與許多其他平台一樣,使用 WordPress 時,大多數用戶依賴插件和附加組件來增強他們構建的應用程序。在許多情況下,這些插件並未包含在正式的報告流程中。
執行全面安全的主動方法
組織需要更加主動。反應性補丁管理在全面的安全策略中始終佔有重要地位。但是,從發現漏洞到惡意行為者可以利用該漏洞之間的停留時間已經縮短。這使得僅通過嘗試跟上已識別的漏洞補丁來管理攻擊面太難了。實際上,大多數組織跟不上補丁管理。
A 最近的調查顯示,目前被利用的漏洞中有 76% 在 2020 年之前就已為人所知。公司顯然不堪重負,無法有效修補實際影響其業務的漏洞。公司需要在整體網絡安全解決方案的背景下審視補丁管理。
為了應對當今嚴峻的安全挑戰,企業需要的是持續滲透測試,以提供全面的外部攻擊面管理 (EASM)。
p>
強大、全面的 EASM 計劃可以回答四個基本問題:
組織擁有哪些面向 Internet 的資產?它有哪些漏洞或異常,它們如何影響您正在保護的環境?安全團隊應該把注意力放在哪裡?團隊如何修復任何現有的漏洞或風險?
在過去幾年中,組織已迅速遷移到雲端,不同的業務部門推出了並非總是集中管理的各種雲服務。這帶來了安全挑戰,因為 IT 和安全團隊甚至可能不知道云資產可能通過 Internet 暴露數據。這就是為什麼 EASM 程序必須在壞人有機會運行自動化工具來發現和監控組織的攻擊面之前發現所有資產。
可以通過不斷掃描新子域來實現資產發現發現可用的新服務。一旦發現數字資產,掃描它們以發現漏洞和異常。關鍵是使用執行網絡犯罪分子用來攻擊組織的相同偵察任務的工具。
下一步是從最嚴重到最不嚴重的順序排列漏洞和異常的優先級。這樣,安全團隊就可以立即將精力集中在對他們構成最大風險的事情上。作為優先級排序的一部分,團隊可以根據一些預設標準對資產進行分組。最後一步是修復任何需要修復的漏洞。由於許多組織缺乏提供修復的資源或專業知識,因此使用能夠提供有關如何解決漏洞的可操作建議的流程和工具非常重要。例如,確保為團隊提供請求 URL、用於識別漏洞的有效負載、代碼片段和可用屏幕截圖等信息。
當前查找和修復漏洞的方法,基於CVE和CVSS,各有千秋。但最終,這些都是有缺陷的解決方案,無法提供當今組織所需的安全級別。它們可能會使公司面臨比他們可能意識到的更高的風險。公司需要製定策略和解決方案來提供所需的專業知識和自動化,以幫助安全團隊以最有效的方式解決漏洞。通過這樣做,組織可以更主動地保護安全。
圖片來源:Rawpixel /depositphotos.com
Rickard Carlsson 是 Detectify 的首席執行官兼聯合創始人.