您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
最佳網(wǎng)絡安全策略:全面資產(chǎn)管理
全面資產(chǎn)管理不是誘人的尖端算法,但研究顯示,這是緩解常見漏洞利用的最佳工具。
美國網(wǎng)絡安全與基礎設施安全局 (CISA)、澳大利亞網(wǎng)絡安全中心(ACSC)、英國國家網(wǎng)絡安全中心(NCSC)和美國聯(lián)邦調(diào)查局(FBI)共同推出聯(lián)合網(wǎng)絡安全咨詢報告,列舉2020年經(jīng)常被利用的30個頂級漏洞,清晰昭示保持軟件資產(chǎn)修復與合規(guī)的重要性。
本文將詳細介紹聯(lián)合咨詢中的主要發(fā)現(xiàn),探討確保能跟蹤所有軟件資產(chǎn)清單的技術,并最終凸顯增強可見性可縮短修復時間線的事實。
攻擊者日益激進
這份聯(lián)合網(wǎng)絡安全咨詢報告題為《常被利用的頂級漏洞》,揭示2020年最常被利用的12個頂級CVE中有四個都是當年披露的。有鑒于這些CVE中很多都是年中披露的,我們可以看出,攻擊者真是一刻都等不及,幾乎是漏洞一出就添加到他們的武器庫中了。拉長時間線觀察,全部12個頂級CVE皆是在2017-2020這三年間曝光的。坦率地說,這項研究表明,過去幾周內(nèi)披露的嚴重CVE都極有可能被利用。
如果坐等六周以上才修復或更新系統(tǒng),可能就太遲了。企業(yè)的修復流程往往費時費力,常會耗費數(shù)周到數(shù)月不等的時間。過長的修復周期就是攻擊者利用安全漏洞的大好機會。
有效資產(chǎn)管理應該是動態(tài)的,并且能夠應對當今各種新興威脅。所以,行業(yè)標準18項互聯(lián)網(wǎng)安全中心控制措施(CIS Controls)(此前的SANS Top 20)將軟件和硬件資產(chǎn)清單列為最重要的兩個安全實踐重點領域,幫助創(chuàng)建持續(xù)的漏洞管理系統(tǒng)。
全面的資產(chǎn)可見性和管理是打造企業(yè)安全狀態(tài)的基礎。通過全面映射企業(yè)環(huán)境,企業(yè)能夠輕松地大規(guī)模管理各種資產(chǎn)。隨著企業(yè)的發(fā)展壯大,企業(yè)的攻擊面變得越來越復雜,面臨著軟件和硬件遭惡意染指的風險。跟蹤每個端點便成為了良好安全實踐必不可少的第一步。
衡量即完成
相較于采用時間點工具的傳統(tǒng)供應商,擴展檢測與響應(XDR)解決方案提供統(tǒng)一的平臺,可全面盤點和保護云、容器和傳統(tǒng)端點資產(chǎn)。借助XDR平臺,企業(yè)可以匯總實時資產(chǎn)清單并深入了解自身環(huán)境中發(fā)生的種種情況。
頂級XDR解決方案會梳理源自各個資產(chǎn)的數(shù)據(jù)流,規(guī)范化存儲到數(shù)據(jù)庫中,方便用戶查詢。這意味著,無論是對容器配置有疑問,還是要進行實時應用審計,或者想搜索特定軟件包的信息,XDR平臺都可以即時給出答案。
采用XDR解決方案,你可以在儀表板上總覽全部資產(chǎn),然后無縫深入了解各個資產(chǎn)的具體情況。
如果采用統(tǒng)一資產(chǎn)管理平臺應對新興威脅,安全團隊可以更快地分析、檢測和采取響應措施。擴展保護不僅僅是可見性的問題:企業(yè)可以配置所用平臺,讓平臺去執(zhí)行繁瑣任務,解放安全團隊的雙手,還可以通過平臺實時獲取關于資源過載、安全故障和罕見異常的詳情。
重建歷史配置可以了解之前的安全狀態(tài),或者特定軟件是否造成了性能問題。最佳做法是存儲過去30到90天的歷史數(shù)據(jù)。歷史數(shù)據(jù)是確定隨時間推移的風險的強大工具,且可供查詢機器的實時狀態(tài)或之前的狀態(tài)。
可見性縮短修復生命周期
面對新興關鍵漏洞,XDR解決方案可以大幅縮短原本需要數(shù)月之久的修復周期。我們不妨先分解傳統(tǒng)漏洞管理周期,然后確定改善資產(chǎn)可見性能夠減輕IT員工工作壓力并加快修復進程的那些領域。
傳統(tǒng)的軟件漏洞修復過程:
1、新的關鍵CVE出現(xiàn)了。安全團隊往往會在關鍵CVE披露時獲悉情況,但這一發(fā)現(xiàn)與體量較小的供應商有關,因此不會像微軟或大型網(wǎng)絡基礎設施漏洞那樣直擊新聞頭條,引起足夠重視。
2、你擁有傳統(tǒng)漏洞掃描工具,可以掃描部署了此代理的資產(chǎn)上的所有軟件,獲得時間點分析結(jié)果。這種掃描操作會導致資源利用率激增,因此只能每天或每周執(zhí)行一次。你的安全團隊人手不足,而且早已過勞,只能每周或每兩周開次會看一下掃描結(jié)果。你配置了警報和儀表板,但待修復的CVE積壓太多,有價值的新發(fā)現(xiàn)被噪音淹沒,沒有激起一點水花。
3、一周過去了,安全團隊總算看到了這個新發(fā)現(xiàn)。似乎還挺重要,但優(yōu)先級該排哪個檔次尚不明確。團隊決定將其作為下次會議討論的事項。
4、新發(fā)現(xiàn)的漏洞擺到了兩周一次的會議上。提出的問題諸如:這個軟件運行在什么資產(chǎn)上?會是誤報嗎?誰在維護運行這個軟件的資產(chǎn)?誰有空處理?這個漏洞的嚴重情況如何?面向互聯(lián)網(wǎng)的資產(chǎn)上存在這個漏洞嗎?如果存在,這種資產(chǎn)有多少?這些資產(chǎn)上有沒有敏感數(shù)據(jù)?話說,我們到底有沒有資產(chǎn)清單可以告訴我們到底都有哪些資產(chǎn)上運行著這個軟件?我們聯(lián)系下開發(fā)團隊或者運營團隊,了解下修改配置或升級軟件會對當前穩(wěn)定版造成什么影響吧。
5、還需要幾天時間才能全面了解該軟件的運行位置、運行該軟件的資產(chǎn)想用它干什么,以及這些資產(chǎn)在互聯(lián)網(wǎng)上的暴露情況如何。漏洞披露兩周后,團隊終于確定自家環(huán)境存在這個問題,而且問題還挺嚴重。
6、你的團隊開啟修復進程。盡管問題亟待解決,關鍵業(yè)務生產(chǎn)運營也不能停。你需要幾周到幾個月的時間走通在最低級別的測試環(huán)境中進行修復的所有步驟,觀察對性能的影響。然后,確保測試環(huán)境中修復過程穩(wěn)定后,你才會考慮將之逐步應用到更高級別的環(huán)境中,最終直至生產(chǎn)環(huán)境。
7、最后,幾個月的周期以生產(chǎn)環(huán)境修復而告終,你按照建議升級或重配置資產(chǎn),成功緩解了新發(fā)現(xiàn)的CVE。
這個場景中,你可以看到從CVE披露,內(nèi)部通告,團隊了解全貌,確定修復優(yōu)先級,到實現(xiàn)并測試修復程序之間,到底耗費了多少時間。盡管公司當前的修復實踐可能不用走完上述所有步驟,但這里的關鍵是:廣泛的可見性和資產(chǎn)管理可以有效縮短以下兩個階段的時間:1)了解問題全貌;2)自信實施修復。XDR工具可以快速回答關于漏洞波及范圍和處理優(yōu)先級的問題,還有助于了解補丁或升級可能對運營產(chǎn)生的影響。
增強的可見性和洞察力讓團隊能夠立即了解問題全貌,并回答上述圍繞資產(chǎn)所有權、數(shù)據(jù)敏感性和最終優(yōu)先級確定的關鍵問題。傳統(tǒng)方式過度依賴跨團隊溝通或關鍵內(nèi)部人員。而借助統(tǒng)一管理平臺,安全團隊可以快速評估企業(yè)全部資產(chǎn),實時篩選出哪些資產(chǎn)具有最高優(yōu)先級。立即確定哪些資產(chǎn)子集具有最高優(yōu)先級,或評估是否有合理的補償控制措施來緩解新出現(xiàn)的CVE。
在修復階段,實施修復需要時間,因為得增量監(jiān)控和推出補丁或更新的配置。這些延遲讓攻擊者有更多時間滲入企業(yè)環(huán)境并提取敏感數(shù)據(jù)。通過全面監(jiān)控開發(fā)、測試和生產(chǎn)環(huán)境中各個端點的性能,即時捕獲應用修復程序所產(chǎn)生的任何性能問題,覆蓋整個修復生命周期的全面可見性可以減少驗證修復所需的時間。在當今威脅環(huán)境中,等待數(shù)天或數(shù)周才能將補丁逐步挪到更高環(huán)境的傳統(tǒng)方法不再可行,而XDR解決方案可為團隊提供更廣泛的可見性,從而使安全團隊能夠自信地面向整個環(huán)境推出更新,并顯著縮短驗證修復程序的耗時。
沒人能預測下一個威脅是什么樣子的,但我們可以為團隊準備最好的工具和流程,方便他們自信應對任何類型的CVE。安全團隊可以憑借更廣泛的可見性、獨特的洞察力和實時資產(chǎn)管理,為明天的威脅做好準備。
《聯(lián)合網(wǎng)絡安全咨詢:常被利用的頂級漏洞》:
https://us-cert.cisa.gov/sites/default/files/publications/AA21-209A_Joint_CSA%20Top%20Routinely%20Exploited%20Vulnerabilities.pdf
來源:數(shù)世咨詢