随着新的云应用程序或第三方 SaaS 帐户的出现,几乎每个组织的外部攻击面都在日复一日地增长,攻击面更广的同时也更脆弱。早在 2022 年, Gartner就将攻击面的扩大视为年度第一大安全趋势。
解决这个问题的唯一方法是管理这些构成攻击面的漏洞。但同时修补或缓解所有漏洞是不可能的。这就是为什么安全专业人员提出了基于风险的脆弱性风险管理。
基于风险的脆弱性管理是一套网络安全流程,即根据最关键的脆弱点对组织造成的风险来确定优先级并加以解决。
作为一套流程,它有固定的几个阶段:
—— 脆弱点识别
—— 风险评估
—— 确定优先级
—— 修复和缓解
这些阶段可能看起来与传统漏洞管理的阶段相同。但有一个区别:脆弱性风险管理可以实现更有效的优先级排序。它确保首先关注对业务最关键的漏洞,而不是简单地按严重性评分对其进行分级。
与传统的漏洞管理不同,脆弱性风险管理综合考虑了漏洞的严重性、可用性和业务影响等因素。使用脆弱性风险管理可以使组织更有效地分配资源,收敛影响最严重的攻击面并改善其安全状况,同时保持法规的合规性。
外部攻击面的弱点有多种来源:可能是受感染的网站或 Web 应用程序、云基础设施配置错误、低强度的访问控制或 API 中的身份验证机制不足等等。所有这些脆弱性都为潜在攻击者窃取敏感数据、不经授权访问公司基础设施提供了机会。
同时面对多个问题时,关键是要找对问题的切入点。这里最佳的切入点就是清楚地掌握组织机构的外部攻击面都有哪些资产。
外部攻击面管理 (EASM) 工具可以帮助您发现和验证(确认它们属于您的组织)已知和未知的面向互联网的资产,例如 IP 地址、域名、子域、端口和 SSL 证书。你以为自己已经知道其中的大多数,但彻底的扫描通常可以发现相当多以前没有出现在资产台账中的信息。
一些基础的漏扫工具也可以帮助发现一些资产并识别资产中的安全缺陷和漏洞,但是,它们的覆盖范围可能要比 EASM 工具低得多。好的 EASM 工具可以完成所有这些工作,并且可以为您提供资产清单,提供更复杂的脆弱性分析、修复建议和持续监控能力。
一个好的 EASM 工具一定会在任何公司的基础设施中发现许多CVE 。其中很大一部分可能属于高危等级或关键类别。然而,大多数这些漏洞其实从未被利用过。潜在攻击者很可能利用的是其中更小一部分的在野漏洞。
这就是为什么仅根据漏洞危害等级分类来确定漏洞修复的优先级可能不是最合适的方法。脆弱性风险管理提出了一种更有效的方法:评估每个漏洞给组织带来的风险,从而确定漏洞修复的优先级。
基于风险的脆弱性评估考虑三个主要因素:
该脆弱点被利用的可能性有多大?
修补它将如何影响业务流程?
对于漏洞的可用性,您可以参考 CVSS 的“impact”得分,以及武器化后的可用性、是否在野以及是否在暗网中传播等因素。一些 EASM 工具包含了内置的基于风险的优先级系统。
业务关键性的问题是由业务部门来回答的,至于打补丁对业务流程有何影响,要考虑潜在的宕机以及需要重启部分服务,避免中断正常的业务流程。
在评估风险并确定了脆弱点的优先级后,就可以对其进行修复或缓解。修复时优先考虑直接定位、修复漏洞以消除相关风险。要确认是否成功,可在应用后验证修复。
有时无法立即修复。例如,您可能需要重新启动整个系统来实施更新,显然,这不可能每天都能实现。在这种情况下,缓解策略将有助于减少漏洞利用的潜在影响,直到可以应用永久修复。
脆弱性风险管理的过程永远不会停止或结束,每天都会发现新的漏洞。仅在 2024 年 1 月,微软就发布了49 个漏洞的新补丁,其中 2 个被认定为严重漏洞,4 个被认定为高危漏洞。
不仅如此,组织机构基础设施中每天也都会出现新的外部资产。因此,基于风险的脆弱性管理过程是持续不断的。
这就是 EASM 工具再次派上用场的地方。积极使用这些工具可以使脆弱性扫描和资产盘点成为常规(且大部分是自动化的)程序。
EASM 工具为公司提供了采用脆弱性风险管理的机会,即不以事件严重性简单做出判断,而是周期性地根据组织机构面临的风险来解决安全问题。
通过部署脆弱性风险管理,公司可以有效阻止潜在的攻击路径并阻止致命的攻击向量,从而最大限度地有效地减少外部攻击暴露面。
* 本文为晨雨编译,原文地址:https://www.hackread.com/vulnerability-risk-management-for-external-assets/
图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
更多推荐
原文始发于微信公众号(数世咨询):外部资产的脆弱性风险管理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论