了解运行时漏洞管理

admin
admin
admin
145176
文章
119
评论
2025年6月26日00:45:35评论0 views字数 2137阅读7分7秒阅读模式
了解运行时漏洞管理

多年来,漏洞管理一直基于一个核心假设:降低风险的最佳途径是识别环境中的已知漏洞 (CVE) 并修补它们。  

不幸的是,在现实世界中,使用 CVE 开始漏洞管理并不奏效。 

当今的安全团队面临着数以千计的潜在漏洞,其中大多数不会构成现实世界的风险。

相比之下,危险的漏洞通常是不可见的,直到被利用为止,并且从一开始就不会显示为 CVE。 

这就是为什么越来越多的安全团队在运行时开始漏洞管理。 

运行时漏洞管理 (RVM)已成为一种更有效的方法,可根据软件运行时的实际行为来了解环境中真正存在的风险。

这就是漏洞团队利用其应用程序中的实时数据来丰富 CVSS 分数的方式。  

什么是运行时漏洞管理? 

运行时漏洞管理是一种在软件运行时监控软件以检测现实世界安全风险的技术。 

与依赖已知漏洞(CVE)数据库的传统漏洞扫描程序不同,RVM 工具会观察应用程序、库和进程在运行时的行为。

这使得他们能够检测静态扫描或版本检查无法发现的漏洞路径、错误配置和可疑活动。 

例如,运行时漏洞管理工具可能会检测到第三方应用程序正在打开可写和可执行的内存页面,即使不存在 CVE,也可能会被利用。 

运行时漏洞管理解决方案(例如 Spektion)可显示哪些应用程序行为会在您的实时环境中产生利用风险,而不是根据公共数据库显示哪些行为可能存在风险。 

为什么基于CVE的方法不够完善 

基于CVE的工具在了解软件风险方面发挥着作用,但它们也有局限性: 

  • 他们只看到其他人报告的内容:零日漏洞和小众软件缺陷通常无法被发现。 
  • 它们无法反映环境:由于本地配置或上下文,即使“严重”的 CVE 也可能与设置无关。同时,“中等”的 CVE 则可能是危险漏洞利用链的一部分。 
  • 它们让团队不堪重负:一般的企业要处理数千个 CVE 和源源不断的相关工单。这种情况常常导致团队倦怠。 
  • 它们缺乏上下文:CVE 扫描器会标记版本号和配置。它们不会分析软件的实际使用方式以及它在系统中的实时运行情况。 

运行时漏洞管理有何不同 

为了评估软件的安全性,运行时漏洞管理解决方案通过安装在端点或系统上的轻量级代理被动监视运行时活动。  

这些代理建立正常行为的基线并实时标记任何异常或危险的活动。 

RVM 标记的风险指标包括: 

  • 意外的权限提升。 
  • 不安全的内存处理。 
  • 软件启动与未知主机的出站连接。 
  • 新流程的行为就像是开发尝试。 
  • 未经授权访问敏感数据。 

然后,这些数据将用于丰富通过 CVE 源传入的信息(如果有),以提供最新的风险理解。  

通过分析真实行为并使用来自 CVE 的元数据丰富它,RVM 可以立即查看潜在威胁,无论它们是否与 CVE 相关。 

结果是,RVM 可以发现传统工具遗漏的安全风险,例如没有 CVE 的软件中的可利用行为以及来自第三方或 AI 生成的工具的风险。 

安全团队还可以通过这种方式确定其环境中运行的影子 IT 应用程序的真正风险,并通过在用户测试其功能的同时测试其安全性能来大规模评估概念验证软件的安全性。  

RVM 如何改进漏洞管理 

运行时漏洞管理丰富了来自 CVE 源的信息,并为安全团队提供了一个更接近其环境中风险真相的起点。 

结果是,借助 RVM,安全团队可以消除漏洞源产生的噪音,并专注于其环境中存在的真正风险。  

RVM 向组织显示其暴露的位置以及软件行为可疑的位置。 

直接的结果是漏洞管理团队可以显著改善修补和缓解决策。

他们可以优先处理其环境中真正危险的少数问题,并为必要的缓解措施提供强有力的商业理由。 

RVM 还引入了新的风险管理能力层。 

通过在运行时监控应用程序行为,团队可以在收到 CVE 之前很久就预测并主动缓解零日漏洞,监控影子 IT(RVM 不会对所有未经授权的软件一视同仁,而是突出显示哪些工具实际上构成威胁),并真正最大化其人力资源的价值。 

有了更明确的优先级,团队不需要手动调查每个低优先级警报。 

为什么运行时是漏洞管理的最佳真相来源 

运行时环境是软件真实行为的展现地,是配置、部署、用户活动和集成的汇集地,也是漏洞利用发生的地方。 

RVM 不是让您根据软件在您的环境中实际执行的操作来管理风险,而是让您根据假设的风险来构建漏洞程序。 

这是从被动扫描到主动风险检测的根本转变。 

目前市场上最好的运行时漏洞管理解决方案有哪些? 

市场上有各种类型的运行时漏洞管理解决方案。  

然而,大多数都集中于与云相关的环境,即监控云工作负载的运行时。  

然而,大量的漏洞利用风险源于安装在网络连接设备上的应用程序。

当涉及部署解决方案来监控已安装软件(通常包括与云系统相关的应用程序)的运行时风险时,可用的解决方案种类要少得多。  

目前,最好的运行时漏洞管理解决方案,通过轻量级代理安装在环境中,旨在快速推出和快速实现价值,在几天内提供可操作的见解。 

部署完成后,团队可以使用仪表板来: 

  • 监控跨系统的运行时行为。 
  • 标记带有或不带有 CVE 的可利用软件行为。 
  • 根据实时数据确定风险的优先顺序。 
  • 获取供应链或零日威胁的早期预警。 

结论 

了解运行时漏洞管理就是将您的安全思维从检查已知问题转变为观察真实行为。 CVE 仍然很重要。但它们不再是故事的全部。 

借助 RVM,可以专注于真正重要的漏洞和行为,改善与 IT 的协调,并在威胁演变成事件之前检测到它们。 

— 欢迎关注

原文始发于微信公众号(祺印说信安):了解运行时漏洞管理

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月26日00:45:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   了解运行时漏洞管理https://cn-sec.com/archives/4168689.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息