全面資產(chǎn)管理不是誘人的尖端算法，但研究顯示，這是緩解常見(jiàn)漏洞利用的最佳工具。

美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA)、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)、英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)和美國(guó)聯(lián)邦調(diào)查局(FBI)共同推出聯(lián)合網(wǎng)絡(luò)安全咨詢報(bào)告，列舉2020年經(jīng)常被利用的30個(gè)頂級(jí)漏洞，清晰昭示保持軟件資產(chǎn)修復(fù)與合規(guī)的重要性。

本文將詳細(xì)介紹聯(lián)合咨詢中的主要發(fā)現(xiàn)，探討確保能跟蹤所有軟件資產(chǎn)清單的技術(shù)，并最終凸顯增強(qiáng)可見(jiàn)性可縮短修復(fù)時(shí)間線的事實(shí)。

攻擊者日益激進(jìn)

這份聯(lián)合網(wǎng)絡(luò)安全咨詢報(bào)告題為《常被利用的頂級(jí)漏洞》，揭示2020年最常被利用的12個(gè)頂級(jí)CVE中有四個(gè)都是當(dāng)年披露的。有鑒于這些CVE中很多都是年中披露的，我們可以看出，攻擊者真是一刻都等不及，幾乎是漏洞一出就添加到他們的武器庫(kù)中了。拉長(zhǎng)時(shí)間線觀察，全部12個(gè)頂級(jí)CVE皆是在2017-2020這三年間曝光的。坦率地說(shuō)，這項(xiàng)研究表明，過(guò)去幾周內(nèi)披露的嚴(yán)重CVE都極有可能被利用。

如果坐等六周以上才修復(fù)或更新系統(tǒng)，可能就太遲了。企業(yè)的修復(fù)流程往往費(fèi)時(shí)費(fèi)力，常會(huì)耗費(fèi)數(shù)周到數(shù)月不等的時(shí)間。過(guò)長(zhǎng)的修復(fù)周期就是攻擊者利用安全漏洞的大好機(jī)會(huì)。

有效資產(chǎn)管理應(yīng)該是動(dòng)態(tài)的，并且能夠應(yīng)對(duì)當(dāng)今各種新興威脅。所以，行業(yè)標(biāo)準(zhǔn)18項(xiàng)互聯(lián)網(wǎng)安全中心控制措施(CIS Controls)(此前的SANS Top 20)將軟件和硬件資產(chǎn)清單列為最重要的兩個(gè)安全實(shí)踐重點(diǎn)領(lǐng)域，幫助創(chuàng)建持續(xù)的漏洞管理系統(tǒng)。

全面的資產(chǎn)可見(jiàn)性和管理是打造企業(yè)安全狀態(tài)的基礎(chǔ)。通過(guò)全面映射企業(yè)環(huán)境，企業(yè)能夠輕松地大規(guī)模管理各種資產(chǎn)。隨著企業(yè)的發(fā)展壯大，企業(yè)的攻擊面變得越來(lái)越復(fù)雜，面臨著軟件和硬件遭惡意染指的風(fēng)險(xiǎn)。跟蹤每個(gè)端點(diǎn)便成為了良好安全實(shí)踐必不可少的第一步。

衡量即完成

相較于采用時(shí)間點(diǎn)工具的傳統(tǒng)供應(yīng)商，擴(kuò)展檢測(cè)與響應(yīng)(XDR)解決方案提供統(tǒng)一的平臺(tái)，可全面盤(pán)點(diǎn)和保護(hù)云、容器和傳統(tǒng)端點(diǎn)資產(chǎn)。借助XDR平臺(tái)，企業(yè)可以匯總實(shí)時(shí)資產(chǎn)清單并深入了解自身環(huán)境中發(fā)生的種種情況。

頂級(jí)XDR解決方案會(huì)梳理源自各個(gè)資產(chǎn)的數(shù)據(jù)流，規(guī)范化存儲(chǔ)到數(shù)據(jù)庫(kù)中，方便用戶查詢。這意味著，無(wú)論是對(duì)容器配置有疑問(wèn)，還是要進(jìn)行實(shí)時(shí)應(yīng)用審計(jì)，或者想搜索特定軟件包的信息，XDR平臺(tái)都可以即時(shí)給出答案。

采用XDR解決方案，你可以在儀表板上總覽全部資產(chǎn)，然后無(wú)縫深入了解各個(gè)資產(chǎn)的具體情況。

如果采用統(tǒng)一資產(chǎn)管理平臺(tái)應(yīng)對(duì)新興威脅，安全團(tuán)隊(duì)可以更快地分析、檢測(cè)和采取響應(yīng)措施。擴(kuò)展保護(hù)不僅僅是可見(jiàn)性的問(wèn)題：企業(yè)可以配置所用平臺(tái)，讓平臺(tái)去執(zhí)行繁瑣任務(wù)，解放安全團(tuán)隊(duì)的雙手，還可以通過(guò)平臺(tái)實(shí)時(shí)獲取關(guān)于資源過(guò)載、安全故障和罕見(jiàn)異常的詳情。

重建歷史配置可以了解之前的安全狀態(tài)，或者特定軟件是否造成了性能問(wèn)題。最佳做法是存儲(chǔ)過(guò)去30到90天的歷史數(shù)據(jù)。歷史數(shù)據(jù)是確定隨時(shí)間推移的風(fēng)險(xiǎn)的強(qiáng)大工具，且可供查詢機(jī)器的實(shí)時(shí)狀態(tài)或之前的狀態(tài)。

可見(jiàn)性縮短修復(fù)生命周期

面對(duì)新興關(guān)鍵漏洞，XDR解決方案可以大幅縮短原本需要數(shù)月之久的修復(fù)周期。我們不妨先分解傳統(tǒng)漏洞管理周期，然后確定改善資產(chǎn)可見(jiàn)性能夠減輕IT員工工作壓力并加快修復(fù)進(jìn)程的那些領(lǐng)域。

傳統(tǒng)的軟件漏洞修復(fù)過(guò)程：

1、新的關(guān)鍵CVE出現(xiàn)了。安全團(tuán)隊(duì)往往會(huì)在關(guān)鍵CVE披露時(shí)獲悉情況，但這一發(fā)現(xiàn)與體量較小的供應(yīng)商有關(guān)，因此不會(huì)像微軟或大型網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞那樣直擊新聞?lì)^條，引起足夠重視。

2、你擁有傳統(tǒng)漏洞掃描工具，可以掃描部署了此代理的資產(chǎn)上的所有軟件，獲得時(shí)間點(diǎn)分析結(jié)果。這種掃描操作會(huì)導(dǎo)致資源利用率激增，因此只能每天或每周執(zhí)行一次。你的安全團(tuán)隊(duì)人手不足，而且早已過(guò)勞，只能每周或每?jī)芍荛_(kāi)次會(huì)看一下掃描結(jié)果。你配置了警報(bào)和儀表板，但待修復(fù)的CVE積壓太多，有價(jià)值的新發(fā)現(xiàn)被噪音淹沒(méi)，沒(méi)有激起一點(diǎn)水花。

3、一周過(guò)去了，安全團(tuán)隊(duì)總算看到了這個(gè)新發(fā)現(xiàn)。似乎還挺重要，但優(yōu)先級(jí)該排哪個(gè)檔次尚不明確。團(tuán)隊(duì)決定將其作為下次會(huì)議討論的事項(xiàng)。

4、新發(fā)現(xiàn)的漏洞擺到了兩周一次的會(huì)議上。提出的問(wèn)題諸如：這個(gè)軟件運(yùn)行在什么資產(chǎn)上?會(huì)是誤報(bào)嗎?誰(shuí)在維護(hù)運(yùn)行這個(gè)軟件的資產(chǎn)?誰(shuí)有空處理?這個(gè)漏洞的嚴(yán)重情況如何?面向互聯(lián)網(wǎng)的資產(chǎn)上存在這個(gè)漏洞嗎?如果存在，這種資產(chǎn)有多少?這些資產(chǎn)上有沒(méi)有敏感數(shù)據(jù)?話說(shuō)，我們到底有沒(méi)有資產(chǎn)清單可以告訴我們到底都有哪些資產(chǎn)上運(yùn)行著這個(gè)軟件?我們聯(lián)系下開(kāi)發(fā)團(tuán)隊(duì)或者運(yùn)營(yíng)團(tuán)隊(duì)，了解下修改配置或升級(jí)軟件會(huì)對(duì)當(dāng)前穩(wěn)定版造成什么影響吧。

5、還需要幾天時(shí)間才能全面了解該軟件的運(yùn)行位置、運(yùn)行該軟件的資產(chǎn)想用它干什么，以及這些資產(chǎn)在互聯(lián)網(wǎng)上的暴露情況如何。漏洞披露兩周后，團(tuán)隊(duì)終于確定自家環(huán)境存在這個(gè)問(wèn)題，而且問(wèn)題還挺嚴(yán)重。

6、你的團(tuán)隊(duì)開(kāi)啟修復(fù)進(jìn)程。盡管問(wèn)題亟待解決，關(guān)鍵業(yè)務(wù)生產(chǎn)運(yùn)營(yíng)也不能停。你需要幾周到幾個(gè)月的時(shí)間走通在最低級(jí)別的測(cè)試環(huán)境中進(jìn)行修復(fù)的所有步驟，觀察對(duì)性能的影響。然后，確保測(cè)試環(huán)境中修復(fù)過(guò)程穩(wěn)定后，你才會(huì)考慮將之逐步應(yīng)用到更高級(jí)別的環(huán)境中，最終直至生產(chǎn)環(huán)境。

7、最后，幾個(gè)月的周期以生產(chǎn)環(huán)境修復(fù)而告終，你按照建議升級(jí)或重配置資產(chǎn)，成功緩解了新發(fā)現(xiàn)的CVE。

這個(gè)場(chǎng)景中，你可以看到從CVE披露，內(nèi)部通告，團(tuán)隊(duì)了解全貌，確定修復(fù)優(yōu)先級(jí)，到實(shí)現(xiàn)并測(cè)試修復(fù)程序之間，到底耗費(fèi)了多少時(shí)間。盡管公司當(dāng)前的修復(fù)實(shí)踐可能不用走完上述所有步驟，但這里的關(guān)鍵是：廣泛的可見(jiàn)性和資產(chǎn)管理可以有效縮短以下兩個(gè)階段的時(shí)間：1)了解問(wèn)題全貌;2)自信實(shí)施修復(fù)。XDR工具可以快速回答關(guān)于漏洞波及范圍和處理優(yōu)先級(jí)的問(wèn)題，還有助于了解補(bǔ)丁或升級(jí)可能對(duì)運(yùn)營(yíng)產(chǎn)生的影響。

增強(qiáng)的可見(jiàn)性和洞察力讓團(tuán)隊(duì)能夠立即了解問(wèn)題全貌，并回答上述圍繞資產(chǎn)所有權(quán)、數(shù)據(jù)敏感性和最終優(yōu)先級(jí)確定的關(guān)鍵問(wèn)題。傳統(tǒng)方式過(guò)度依賴跨團(tuán)隊(duì)溝通或關(guān)鍵內(nèi)部人員。而借助統(tǒng)一管理平臺(tái)，安全團(tuán)隊(duì)可以快速評(píng)估企業(yè)全部資產(chǎn)，實(shí)時(shí)篩選出哪些資產(chǎn)具有最高優(yōu)先級(jí)。立即確定哪些資產(chǎn)子集具有最高優(yōu)先級(jí)，或評(píng)估是否有合理的補(bǔ)償控制措施來(lái)緩解新出現(xiàn)的CVE。

在修復(fù)階段，實(shí)施修復(fù)需要時(shí)間，因?yàn)榈迷隽勘O(jiān)控和推出補(bǔ)丁或更新的配置。這些延遲讓攻擊者有更多時(shí)間滲入企業(yè)環(huán)境并提取敏感數(shù)據(jù)。通過(guò)全面監(jiān)控開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境中各個(gè)端點(diǎn)的性能，即時(shí)捕獲應(yīng)用修復(fù)程序所產(chǎn)生的任何性能問(wèn)題，覆蓋整個(gè)修復(fù)生命周期的全面可見(jiàn)性可以減少驗(yàn)證修復(fù)所需的時(shí)間。在當(dāng)今威脅環(huán)境中，等待數(shù)天或數(shù)周才能將補(bǔ)丁逐步挪到更高環(huán)境的傳統(tǒng)方法不再可行，而XDR解決方案可為團(tuán)隊(duì)提供更廣泛的可見(jiàn)性，從而使安全團(tuán)隊(duì)能夠自信地面向整個(gè)環(huán)境推出更新，并顯著縮短驗(yàn)證修復(fù)程序的耗時(shí)。

沒(méi)人能預(yù)測(cè)下一個(gè)威脅是什么樣子的，但我們可以為團(tuán)隊(duì)準(zhǔn)備最好的工具和流程，方便他們自信應(yīng)對(duì)任何類(lèi)型的CVE。安全團(tuán)隊(duì)可以憑借更廣泛的可見(jiàn)性、獨(dú)特的洞察力和實(shí)時(shí)資產(chǎn)管理，為明天的威脅做好準(zhǔn)備。

《聯(lián)合網(wǎng)絡(luò)安全咨詢：常被利用的頂級(jí)漏洞》：

https://us-cert.cisa.gov/sites/default/files/publications/AA21-209A_Joint_CSA%20Top%20Routinely%20Exploited%20Vulnerabilities.pdf

來(lái)源：數(shù)世咨詢