您所在的位置: 首頁 >
新聞資訊 >
行業資訊 >
最佳網絡安全策略:全面資產管理
全面資產管理不是誘人的尖端算法,但研究顯示,這是緩解常見漏洞利用的最佳工具。
美國網絡安全與基礎設施安全局 (CISA)、澳大利亞網絡安全中心(ACSC)、英國國家網絡安全中心(NCSC)和美國聯邦調查局(FBI)共同推出聯合網絡安全咨詢報告,列舉2020年經常被利用的30個頂級漏洞,清晰昭示保持軟件資產修復與合規的重要性。
本文將詳細介紹聯合咨詢中的主要發現,探討確保能跟蹤所有軟件資產清單的技術,并最終凸顯增強可見性可縮短修復時間線的事實。
攻擊者日益激進
這份聯合網絡安全咨詢報告題為《常被利用的頂級漏洞》,揭示2020年最常被利用的12個頂級CVE中有四個都是當年披露的。有鑒于這些CVE中很多都是年中披露的,我們可以看出,攻擊者真是一刻都等不及,幾乎是漏洞一出就添加到他們的武器庫中了。拉長時間線觀察,全部12個頂級CVE皆是在2017-2020這三年間曝光的。坦率地說,這項研究表明,過去幾周內披露的嚴重CVE都極有可能被利用。
如果坐等六周以上才修復或更新系統,可能就太遲了。企業的修復流程往往費時費力,常會耗費數周到數月不等的時間。過長的修復周期就是攻擊者利用安全漏洞的大好機會。
有效資產管理應該是動態的,并且能夠應對當今各種新興威脅。所以,行業標準18項互聯網安全中心控制措施(CIS Controls)(此前的SANS Top 20)將軟件和硬件資產清單列為最重要的兩個安全實踐重點領域,幫助創建持續的漏洞管理系統。
全面的資產可見性和管理是打造企業安全狀態的基礎。通過全面映射企業環境,企業能夠輕松地大規模管理各種資產。隨著企業的發展壯大,企業的攻擊面變得越來越復雜,面臨著軟件和硬件遭惡意染指的風險。跟蹤每個端點便成為了良好安全實踐必不可少的第一步。
衡量即完成
相較于采用時間點工具的傳統供應商,擴展檢測與響應(XDR)解決方案提供統一的平臺,可全面盤點和保護云、容器和傳統端點資產。借助XDR平臺,企業可以匯總實時資產清單并深入了解自身環境中發生的種種情況。
頂級XDR解決方案會梳理源自各個資產的數據流,規范化存儲到數據庫中,方便用戶查詢。這意味著,無論是對容器配置有疑問,還是要進行實時應用審計,或者想搜索特定軟件包的信息,XDR平臺都可以即時給出答案。
采用XDR解決方案,你可以在儀表板上總覽全部資產,然后無縫深入了解各個資產的具體情況。
如果采用統一資產管理平臺應對新興威脅,安全團隊可以更快地分析、檢測和采取響應措施。擴展保護不僅僅是可見性的問題:企業可以配置所用平臺,讓平臺去執行繁瑣任務,解放安全團隊的雙手,還可以通過平臺實時獲取關于資源過載、安全故障和罕見異常的詳情。
重建歷史配置可以了解之前的安全狀態,或者特定軟件是否造成了性能問題。最佳做法是存儲過去30到90天的歷史數據。歷史數據是確定隨時間推移的風險的強大工具,且可供查詢機器的實時狀態或之前的狀態。
可見性縮短修復生命周期
面對新興關鍵漏洞,XDR解決方案可以大幅縮短原本需要數月之久的修復周期。我們不妨先分解傳統漏洞管理周期,然后確定改善資產可見性能夠減輕IT員工工作壓力并加快修復進程的那些領域。
傳統的軟件漏洞修復過程:
1、新的關鍵CVE出現了。安全團隊往往會在關鍵CVE披露時獲悉情況,但這一發現與體量較小的供應商有關,因此不會像微軟或大型網絡基礎設施漏洞那樣直擊新聞頭條,引起足夠重視。
2、你擁有傳統漏洞掃描工具,可以掃描部署了此代理的資產上的所有軟件,獲得時間點分析結果。這種掃描操作會導致資源利用率激增,因此只能每天或每周執行一次。你的安全團隊人手不足,而且早已過勞,只能每周或每兩周開次會看一下掃描結果。你配置了警報和儀表板,但待修復的CVE積壓太多,有價值的新發現被噪音淹沒,沒有激起一點水花。
3、一周過去了,安全團隊總算看到了這個新發現。似乎還挺重要,但優先級該排哪個檔次尚不明確。團隊決定將其作為下次會議討論的事項。
4、新發現的漏洞擺到了兩周一次的會議上。提出的問題諸如:這個軟件運行在什么資產上?會是誤報嗎?誰在維護運行這個軟件的資產?誰有空處理?這個漏洞的嚴重情況如何?面向互聯網的資產上存在這個漏洞嗎?如果存在,這種資產有多少?這些資產上有沒有敏感數據?話說,我們到底有沒有資產清單可以告訴我們到底都有哪些資產上運行著這個軟件?我們聯系下開發團隊或者運營團隊,了解下修改配置或升級軟件會對當前穩定版造成什么影響吧。
5、還需要幾天時間才能全面了解該軟件的運行位置、運行該軟件的資產想用它干什么,以及這些資產在互聯網上的暴露情況如何。漏洞披露兩周后,團隊終于確定自家環境存在這個問題,而且問題還挺嚴重。
6、你的團隊開啟修復進程。盡管問題亟待解決,關鍵業務生產運營也不能停。你需要幾周到幾個月的時間走通在最低級別的測試環境中進行修復的所有步驟,觀察對性能的影響。然后,確保測試環境中修復過程穩定后,你才會考慮將之逐步應用到更高級別的環境中,最終直至生產環境。
7、最后,幾個月的周期以生產環境修復而告終,你按照建議升級或重配置資產,成功緩解了新發現的CVE。
這個場景中,你可以看到從CVE披露,內部通告,團隊了解全貌,確定修復優先級,到實現并測試修復程序之間,到底耗費了多少時間。盡管公司當前的修復實踐可能不用走完上述所有步驟,但這里的關鍵是:廣泛的可見性和資產管理可以有效縮短以下兩個階段的時間:1)了解問題全貌;2)自信實施修復。XDR工具可以快速回答關于漏洞波及范圍和處理優先級的問題,還有助于了解補丁或升級可能對運營產生的影響。
增強的可見性和洞察力讓團隊能夠立即了解問題全貌,并回答上述圍繞資產所有權、數據敏感性和最終優先級確定的關鍵問題。傳統方式過度依賴跨團隊溝通或關鍵內部人員。而借助統一管理平臺,安全團隊可以快速評估企業全部資產,實時篩選出哪些資產具有最高優先級。立即確定哪些資產子集具有最高優先級,或評估是否有合理的補償控制措施來緩解新出現的CVE。
在修復階段,實施修復需要時間,因為得增量監控和推出補丁或更新的配置。這些延遲讓攻擊者有更多時間滲入企業環境并提取敏感數據。通過全面監控開發、測試和生產環境中各個端點的性能,即時捕獲應用修復程序所產生的任何性能問題,覆蓋整個修復生命周期的全面可見性可以減少驗證修復所需的時間。在當今威脅環境中,等待數天或數周才能將補丁逐步挪到更高環境的傳統方法不再可行,而XDR解決方案可為團隊提供更廣泛的可見性,從而使安全團隊能夠自信地面向整個環境推出更新,并顯著縮短驗證修復程序的耗時。
沒人能預測下一個威脅是什么樣子的,但我們可以為團隊準備最好的工具和流程,方便他們自信應對任何類型的CVE。安全團隊可以憑借更廣泛的可見性、獨特的洞察力和實時資產管理,為明天的威脅做好準備。
《聯合網絡安全咨詢:常被利用的頂級漏洞》:
https://us-cert.cisa.gov/sites/default/files/publications/AA21-209A_Joint_CSA%20Top%20Routinely%20Exploited%20Vulnerabilities.pdf
來源:數世咨詢