一(yī)直以來,漏洞管理都被當做一(yī)項工(gōng)程任務,沒有将安全漏洞與業務的關聯,及其實際造成的威脅考慮進去(qù)。
随着一(yī)些防護不周的新技術的采納,比如物(wù)聯網(IoT);以及網絡犯罪活動的不斷升級,更具破壞性的入侵事件也在增加。随後的監管與法律審查,暴露出了這一(yī)傳統方式的缺陷。這就引出了傳統漏洞管理局限性,以及可以采取什麽措施來驅動以風險爲中(zhōng)心的新方法的問題。最終目标,是要暴露出迫在眉睫的威脅以便及時修複,并更有效減小(xiǎo)不斷擴張的攻擊界面所承受的風險壓力。
《2017美國網絡犯罪調查情況》表明,39%的受訪者報告稱過去(qù)12個月中(zhōng)網絡安全事件的頻(pín)度有所上升。這在有關數據洩露和新發現漏洞的日常新聞報道中(zhōng)也有所反映。因而,公司企業計劃升級其IT和數據安全,以避免未來的網絡攻擊。基于《2014-2017 CIO狀态》,如今安全問題已成爲緊跟在達成預設盈利目标之後的企業第二大(dà)頭等要務。
面對2017數據洩露潮,我(wǒ)們得考慮傳統漏洞管理方法是否依然适用,僅僅升級現有方法或工(gōng)具是否足以應對。傳統中(zhōng)型企業面對的,是其整個生(shēng)态系統中(zhōng)平均有20萬個漏洞的現狀,其安全分(fēn)析師常常陷入不知(zhī)道從哪兒開(kāi)始的窘境。考慮到企業攻擊界面還在持續膨脹,從終端、應用、數據庫、移動設備到IoT都是漏洞滿滿,情況隻會越來越糟。這也是爲什麽Gartner在其《2017威脅态勢》中(zhōng),将該情況比喻爲“你的屋頂正在漏水,且越來越漏”的原因。
漏洞不是什麽新出現的事物(wù),計算機面世時就有漏洞的存在。雖然漏洞管理工(gōng)具和實踐在過去(qù)幾十年有所發展,添加了身份驗證或代理掃描之類的新功能,其核心卻依然仰仗由事件響應與安全團隊論壇(FIRST)維護通用漏洞評分(fēn)系統(CVSS)。
很容易就會被CVSS評分(fēn)誤導,陷入數字遊戲當中(zhōng)。但這些操作往往隻能降低紙(zhǐ)面上的風險,而不是實際上的。傳統漏洞管理方法執行的是漸進式風險降低操作。他們的修複重點,要麽放(fàng)在高CVSS的嚴重漏洞上(所謂以漏洞爲中(zhōng)心的模式),要麽根據資(zī)産的價值和暴露面來定(比如面向互聯網、第三方訪問、含有敏感數據、提供業務關鍵功能等等;所謂資(zī)産爲中(zhōng)心的模式)。然而,不幸的是,兩種模式往往都落入以最少的補丁封堵最多風險的境地。
這些傳統方法再也不能滿足當今威脅态勢的需求。Gartner表示,公司企業應将其漏洞管理操作轉向以威脅爲中(zhōng)心的模式,實現臨近威脅清除,而不是逐步的風險減小(xiǎo)。即将到來的威脅可通過關聯漏洞與其流行率加以識别:
該新模式下(xià),臨近威脅的緩解優先級會被拉高。雖然不能預測誰會攻擊我(wǒ)們,但至少可以預估誰或什麽東西有可能成功實施攻擊。
最後,計劃“升級”已有漏洞及補丁管理操作的公司企業,應跳出自身當前安全态勢的局限,以新興安全分(fēn)析和網絡風險管理功能來增強工(gōng)具集,構築基于場景和目标的方法,評估“可能的”威脅,預計潛在威脅的影響和後果。
上一(yī)篇:預警 | Android 高危漏洞可被繞過簽名驗證機制、注入惡意代碼替換合法 APP
下(xià)一(yī)篇:亞太地區2017年網絡成熟度報告:中(zhōng)國排名第八