目前许多组织继续依赖于传统的漏洞管理解决方案、风险评估,以及必须手动应用的一长串补丁和安全控制更改。统计数据表明,这是行不通的,近70%的组织仍然容易受到WannaCry攻击,超过 80% 的组织认为他们容易因配置错误而受到攻击。
这篇文章介绍了当今的威胁格局是如何演变的,它给努力应对当前漏洞管理实践的安全团队带来了难以承受的压力。然后,我们将探讨漏洞管理的一些最佳实践,并讨论人工智能与人类智慧如何帮助实现漏洞管理的现代化。
在2022年第一季度,确认了8000个新的漏洞。纵观 CVE 详细信息中报告的所有漏洞,11% 为高危漏洞。此外,Edgescan的2022漏洞统计报告证实,在面向互联网的应用程序中,10%的漏洞被认为是高风险或严重风险。
利用云服务已是当今许多组织的选择,因此攻击者也非常关注识别云漏洞。当所有已发现的漏洞中,很明显,微软产品占比最多,且很多都是高危漏洞。这些云漏洞中的许多都依赖于云服务提供商(cloud Service Provider, CSP)来解决。
纵观云服务行业,产品的攻击面越来越多,因此,在这样一个网络安全环境中,威胁格局持续快速演变并不奇怪。根据IBM的数据,一个攻击从研发到结束平均生命周期为287天。今天,大多数恶意软件是多形态的,这意味着它的可识别特征不断变化,以逃避传统的防御机制。网络罪犯越来越多地利用 “living off the land” (LotL)技术,允许他们使用操作系统或用户的二进制文件进行恶意活动。
此外,由于许多现代应用程序和云服务在配置时没有考虑到安全性,攻击者越来越多地针对服务错误配置环境为攻击目标。在如此快速发展的威胁环境中,许多现有的安全工具和流程无法再扩展并为组织提供足够的覆盖范围。
鉴于已发现漏洞的增加、威胁环境的不断复杂化以及数字资产的指数级增长,我们需要一种新的方法来管理组织如何管理漏洞评估和缓解。
从历史上看,许多组织依靠传统的威胁和漏洞管理 (TVM) 解决方案和专业服务对环境执行及时扫描,以识别可能的漏洞和错误配置,然后安全团队需要根据通常冗长的所需列表采取行动手动缓解。至少,这是关于组织应该如何处理漏洞的理论。
然而,在实践中,由于缺乏资源或所需更改的复杂性,许多已确定的所需缓解措施(如待处理的操作系统或应用程序补丁或安全控制的调整)将不会应用,因此几个月后,当安全团队进行了另一次评估,他们会找到类似的补救建议。
令人震惊的是,今天许多安全顾问证实,在6到12个月后,他们几乎可以在访问同一个组织进行另一次风险评估时提交相同的风险报告,因为该组织没有实施所需的更改。这不仅从安全角度来看令人震惊,从金融和风险角度来看也令人震惊。从本质上讲,许多组织定期为风险评估付费,但他们的整体风险水平并没有提高。
考虑到所有这些,组织通常几乎无法专注于修复其操作系统中的关键漏洞,也没有足够的资源专注于其他任何事情,这就给网络罪犯的身份、应用程序和云基础设施留下了一个巨大的攻击面。
鉴于当今漏洞管理计划面临的挑战和限制,作为维护者,我们需要一种新的方法来管理我们数字资产中的漏洞风险。一种允许人类操作员集中精力并确定优先级的方法,而人工智能则提供实时资产发现、漏洞检测、风险评估和网络风险的自动补救。
1. 实时寻找可能的攻击面
终端、移动设备、物联网设备和软件即服务 (SaaS) 应用程序等非托管资产对组织来说是一个重大风险。DoControl 的研究发现,高达 40% 的 SaaS 数据访问是不受管理的。因此,对于一个组织来说,要识别其整个攻击面,首先要能够定位其所有资产,这一点至关重要。简单地说,你无法保护你不知道存在的东西。为了帮助这项工作,现代漏洞管理解决方案通过利用托管资产作为信标来发现环境中的非托管资产,从而结合资产发现功能。
2. 使用持续漏洞评估
由于漏洞数量庞大,聘请第三方顾问进行定期风险评估的传统方法已经过时。现如今,可以利用技术方式来执行连续和实时的漏洞检测和分析。现代漏洞管理解决方案通过利用云处理能力和人工智能 (AI) 来经常模拟传统的定期和手动风险评估会实时执行的操作。这些解决方案首先根据供应商和行业最佳实践(如 CIS 基准)持续扫描所有资产。本质上,该解决方案是根据配置基线和最佳实践验证当前状态。
3. 了解漏洞的危险性
并非所有漏洞都同样重要。让我们从了解不同类型的漏洞开始:
未打补丁的软件:无论我们谈论操作系统还是用户应用程序,未打补丁的软件通常是研究漏洞管理时首先想到的。网络犯罪分子可以利用这些未修补的漏洞侵入环境或窃取敏感数据。
弱授权:网络犯罪分子利用弱授权协议和弱密码策略强行进入操作环境。这就是为什么采用现代身份验证方法、条件访问和多因素身份验证 (MFA) 等事情至关重要的原因。
错误配置:不管我们讨论的是操作系统、用户应用程序还是云服务,所有这些都可能因为错误配置而暴露出来。Check Point发布的2022年云安全报告证实,27%的组织在其公共云基础设施中经历过安全事件,而其中23%是由云配置错误引起的。
零日漏洞:零日漏洞是最近发现的系统中的漏洞,但供应商尚未为其提供缓解措施。当发现新的零日漏洞时,我们经常看到攻击者的大规模活动有所增加。例如 WannaCry、NotPetya、Kaseya 或 SolarWinds 等全球活动。
现在我们了解了漏洞是什么,让我们来看看漏洞与漏洞利用之间的区别:
漏洞:漏洞是一种理论上可以被利用的意外设计缺陷。
漏洞利用:漏洞利用是某人执行的一系列活动,这些活动利用漏洞执行不需要的和未经授权的操作。
因此,在风险和暴露管理的背景下,了解组织的脆弱性以及如何利用它至关重要。这将有助于确定组织应以多快的速度响应其环境中新发现的漏洞的优先级。这正是传统漏洞管理解决方案失败的原因,因为它们经常错过漏洞和利用之间的联系。
这就是为什么现代漏洞管理解决方案正在融合到扩展检测响应(XDR)平台,因为它允许供应商通过将识别的漏洞与来自其身份威胁检测响应(ITDR)和端点检测响应(EDR)功能的监测技术相关联,为组织提供实时的风险和暴露评估。
4. 利用安全态势管理
自然,在确定风险和漏洞暴露后,下一步是确定组织如何降低暴露的风险。在这种情况下,组织本质上是希望了解如何补救这个漏洞。
为此,我们需要将已确认的问题与受影响资产的当前配置状态相关联。这将使组织找到前进的最佳路径。
这就是现代漏洞管理解决方案利用安全态势管理功能的原因。它们将使他们能够比较当前状态与最佳实践,并为组织提供补救建议。
5.采用自动工作优先级
虽然上一步侧重于自动识别补救需求,但自动工作优先级化的步骤有助于提供更大的保护。
但不管怎样,漏洞总是存在的,我们也总是需要做一些事情来减少受攻击面。因此,我们需要通过清楚地了解暴露的风险来确定工作的优先级。
技术可以帮助识别漏洞,提供补救建议,并在一定程度上自动根据可能的影响确定工作的优先次序。然而,安全团队最了解他们的环境,并在根据他们对环境的深入了解确定所需工作的优先级方面发挥着至关重要的作用。
6. 使用试点小组来测试修复
漏洞管理的最大挑战之一通常是修复。原因是许多推荐的活动应该直接针对整个数字资产,即使某些补救步骤可能会从根本上改变他们的企业架构。因此,由于担心破坏现有的正常运行的业务流程和系统,组织通常担心进行这些更改,这可能会增加工作量。因此,建议对于大多数漏洞,修复活动首先针对已定义的试点组,然后在整个团队中推广。
7. 实现自动修复
一旦IT和安全团队对试点小组中实施的补救措施有信心,就该在数字产业中逐步推出修复措施了。此时,破坏业务流程和系统功能的风险应该是最小的。
根据实践,人工智能和人类在决策方面仍然存在分歧。我们永远不应该期望人工智能具有直觉性、道德性或战略性。在这些领域,我们仍然不可避免地需要人类参与其中。这些都是人类智力资本表现出色的领域。我们还必须意识到,我们永远不应该指望人类操作员在诸如在大型数据集中搜寻异常现象、汇总数十亿事件以确定基线趋势或测试假设等任务上具有同样的效率或效率。这些都是人工智能具有明显优势的领域。
人工智能带来了收集和分析大量复杂数据的能力。它们可以在大量信息中筛选,所需时间非常少。这意味着数据在被分析时仍然是及时的,而如果是人类在做,攻击可能在进入该组织几周后就会被发现。
漏洞总是存在的,威胁格局将继续演变,攻击面将继续增加。作为防御者,我们正处于一个关键时刻,我们需要研究如何使我们的脆弱性管理方法现代化。定期的、手工的和孤立的风险评估时间不再有效,也无法扩展。
正如我们从传统的基于签名的安全解决方案转向基于行为的检测和响应方法一样,我们需要使漏洞管理方法现代化。
参考及来源:https://www.sentinelone.com/blog/how-to-modernize-vulnerability-management-in-todays-evolving-threat-landscape/