調查發(fā)現(xiàn),軟件漏洞數(shù)量正在增加,僅在2020年,漏洞數(shù)據(jù)庫(NVD)就發(fā)現(xiàn)了400多個新漏洞。對于大多數(shù)企業(yè)而言,快速修復這些漏洞的能力仍然是一個挑戰(zhàn)。根據(jù)調研機構發(fā)布的《2019年DevOps狀態(tài)報告》(SODOR),只有32%的受訪者表示,能夠在一小時至不到一天的時間內修復嚴重的安全漏洞;只有7%的受訪者表示,能夠在不到一小時的時間內對其進行修復。這是一個大問題,因為長時間不修復關鍵漏洞將使黑客有時間獲得更多具有價值的信息。
對于管理人員和工作人員來說,對已知漏洞的安全性和緩解風險的關注應該成為更大的優(yōu)先事項。問題在于,漏洞管理工作流程(從安全團隊運行的漏洞報告到IT運營商完成的漏洞修復)是分散且人工實施的,這使得漏洞修復速度很慢,并使IT基礎設施暴露于外部攻擊的時間過長。仍然有很多企業(yè)允許安全團隊將敏感數(shù)據(jù)發(fā)送給IT團隊,以修復他們在系統(tǒng)中發(fā)現(xiàn)的所有漏洞。根據(jù)調研機構波洛蒙公司的研究,IT運營部門平均每周花費320個小時來進行一次漏洞修復。
隨著人們進入一個以軟件為中心的世界,網(wǎng)絡攻擊數(shù)量將會繼續(xù)增長,并且企業(yè)生產(chǎn)和使用的軟件漏洞數(shù)量將會增加。如果沒有針對企業(yè)如何主動、大規(guī)模地修復已知漏洞的計劃,那么企業(yè)聲譽和財務受損的機會就會增加。
那么,企業(yè)如何才能增強其安全性配置文件,使其免受漏洞攻擊并應對日益增長的威脅?
運營環(huán)境的標準化和自動化
隨著技術的發(fā)展,IT領域變得越來越復雜,導致ITOpps的工作量要比人工完成的還要多,尤其是在技術人才短缺的情況下。解決此問題的一種方法是采用DevOps實踐,以盡可能少的技術實現(xiàn)標準化,這也對提高安全性有好處。使用更少的操作系統(tǒng),企業(yè)再也不需要查看影響選擇刪除的操作系統(tǒng)的漏洞,而且可以處理的漏洞數(shù)量也更少。
使用標準化技術,使企業(yè)的環(huán)境自動化是管理其不斷增長的資產(chǎn)的有效方法,并允許在發(fā)現(xiàn)漏洞時更快地進行補救。DevOps的另一項原則(在可能的情況下進行自動化)有利于提高安全性,因為自動化執(zhí)行人工實施的安全性流程(例如補丁和更新)通常是重復和耗時的,并且可能會被遺忘,從而消除了人為錯誤的風險。一旦發(fā)現(xiàn)漏洞,解決問題的速度便是最重要的,而自動化則是快速和大規(guī)模反應的一種方法。在日常工作中,基本的網(wǎng)絡安全檢查非常適合于機器操作,使安全專家有時間尋找威脅和漏洞,而這正是人類擅長的事情,可以發(fā)現(xiàn)看起來很奇怪或不合適的事物并找出存在的漏洞。
遵循基于風險的方法來確定首先要修復的內容
信息安全和信息技術專業(yè)人員以嚴重程度為基礎處理漏洞的日子已經(jīng)一去不復返了。現(xiàn)代專業(yè)人士現(xiàn)在面臨著一項艱巨的任務,即決定不進行補救的內容。實際上,只有那些可能對企業(yè)造成實質性損害的漏洞才能得到解決。因此,現(xiàn)代專業(yè)人員必須采用基于風險的優(yōu)先權。
基于風險的方法考慮了漏洞的嚴重性以及服務器或計算機的場景和嚴重性。可能會問這個漏洞容易被利用嗎?這個漏洞是否已廣為人知?是否有廣泛可用的漏洞攻擊工具包?暗網(wǎng)上是否有關于該漏洞的討論?該漏洞是否會影響業(yè)務基礎設施的關鍵部分?如果對這些問題的答案是肯定的,那么企業(yè)現(xiàn)在就應該進行補救。
通過使用自動化和一致的信息作為安全性和IT之間的通用語言,企業(yè)可以更好地了解其系統(tǒng)中最容易受到攻擊的部分,從而可以相應地確定優(yōu)先級。遵循基于風險的方法,可以糾正可能對企業(yè)造成最大影響和傷害的漏洞,例如任何種類的財務軟件、健康記錄甚至客戶數(shù)據(jù)庫。
縮小差距
如今,軟件為IT世界提供了強大的動力,這意味著許多使用軟件的企業(yè)都面臨潛在的安全漏洞。此外,通常存在的軟件漏洞是由人為錯誤引起的,盡管它們可能不是惡意的,但如果被利用,則會嚴重損害企業(yè)的運營和發(fā)展。企業(yè)需要確保早日消除軟件漏洞并盡快解決問題,這對其運營非常有利。當企業(yè)盡早減輕安全風險時,IT Ops可以大規(guī)模地減少漏洞數(shù)量。
但是,很多公司仍在嘗試通過人工修復漏洞,鑒于可能存在一些隱秘的漏洞,這種做法幾乎是不可能的,因此很容易受到網(wǎng)絡攻擊。一個良好的解決方案是自動化漏洞修復,從而消除漏洞管理工作流程中的重復性和容易出錯的步驟,例如,消除在信息安全和IT Ops之間進行人工數(shù)據(jù)移交的潛在錯誤。
如果企業(yè)基礎設施中重要的部分存在大量漏洞,那么需要采用更有效的網(wǎng)絡安全防御措施。現(xiàn)在建立強大的漏洞管理實踐,可以幫助企業(yè)避免可能導致慘重損失的錯誤。
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號