面对不断发展变化的威胁形势,漏洞管理是一项困难而艰巨的任务。尽管漏洞频繁涌现,但不是所有漏洞的风险水平都是一样的。通用漏洞评分系统(CVSS)和漏洞数量等传统指标不足以支撑有效的漏洞管理,因为这些指标缺乏业务上下文、优先级排序和对攻击机会的了解。漏洞仅仅是攻击者能利用的攻击面的一小部分。
企业一开始靠人工解决已知安全漏洞,但随着技术和网络威胁的发展,现在有必要采用更加自动化和全面的方法了。然而,旧有漏洞管理工具主要是为了满足合规要求而设计的,而现代工具仍面临优先级排序问题和资源有限的挑战,尤其是在动态敏捷云环境中。
现代漏洞管理集成了扫描器、威胁情报和修复工作流等安全工具,可提供更高效的解决方案。然而,即便如此,企业依然面临诸多挑战,例如:
● 优先级排序不准确
● 业务上下文缺失
● IT和安全团队之间在工作重点和资源方面不一致
● 缺乏覆盖和统一的风险观
风险暴露的概念比通常所说的CVE更宽泛,包含的不仅仅是漏洞。造成风险暴露的因素有很多,比如人为错误、定义不当的安全控制,以及设计糟糕的不安全架构。很多安全工具容易聚焦特定类型的风险暴露,比如漏洞、错误配置、身份等,然后一个个单独处理。但是,这种方式未能考虑到攻击者是怎么看待网络和系统的。攻击者眼中的可不是单个暴露——他们综合利用漏洞、错误配置、过于宽泛的身份和其他安全缺口在各个系统之间游走并获取敏感资产。这一路线被称为攻击路径,而此类横向移动可能几周乃至数月都无人发现,令攻击者能潜藏在网络中持续造成重大损失。
现代风险暴露管理计划涉及在攻击图上汇集多种风险暴露,了解关键资产所面临风险的关系和上下文。这么做可以实施针对性修复,从而经济高效地降低风险。想要构建现代风险暴露管理计划,企业应当认识到威胁团伙及其战术的发展变化,建立确保持续改善安全态势的操作流程,并实施囊括了修复计划、修复审查、风险缓解和缓解验证的计划。
网络安全初创企业XM Cyber的研究人员认为,只有在攻击图上综合各种风险暴露,可视化所有可能的攻击路径,才能了解关键资产所面临风险的关系和上下文。而通过了解上下文,我们就可以准确排序问题的优先级,重点关注阻塞点上出现的需修复风险暴露上。这么做可以实施富有成效的修复,经济高效地降低风险。
构建现代风险暴露管理计划的三个重要基石是:
夯实三大重要基石,企业就能构建全面有效的风险暴露管理计划,帮助保护关键资产并缩小整体风险暴露。这么做可以实施富有成效的修复,经济高效地降低风险。通过持续分析和监测风险暴露,随着时间流逝,企业就能构建起可持续、可扩展的风险管理流程。
参考阅读
CSAF:漏洞管理的未来
基于风险的漏洞管理缘何兴起
谷歌:提高漏洞管理实践透明度
针对痛点修复: 2023年有效的漏洞管理
原文始发于微信公众号(数世咨询):从漏洞管理到风险暴露管理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论