了解漏洞的業務影響如何幫助確定它們的優先順序?你能舉個例子說明這在現實世界中是如何有效運作的嗎?
修復漏洞是一項艱巨的任務。截至2023年12月,已發布超過4540個關鍵漏洞(CVSS排名為9+),然而,這些漏洞中被利用的不到2%。
使用CVSS評分推動修補工作的公司可能跟不上新漏洞的速度,因為部署安全補丁需要測試、兼容性檢查和風險評估,導致修補漏洞需要4-6周(或更長時間),這一漫長的過程是因為需要避免由于安裝軟件更新可能導致兼容性問題而造成的業務中斷,這對公司來說是一個重大風險。因此,必須根據公司的業務上下文確定優先順序,并與它們面臨的最嚴重的漏洞保持一致——這將導致可持續的補救過程。
公司應該了解哪些漏洞有可能在其獨特的環境中被利用,以及哪些漏洞可能構成最高的業務風險,例如,與駐留在保護良好的環境中的未使用的應用程序中的漏洞相比,存在于活動的面向互聯網的業務應用程序中的具有已證實可利用性的漏洞或存在高概率利用的漏洞可能具有更高的優先級。
遵守GDPR這樣的監管框架在哪些方面有助于確定漏洞的優先順序,這與維護公司的可信度有何關系?
漏洞管理是許多合規和監管框架的關鍵組成部分,如NIST CSF、PCIDSS(支付卡行業數據安全標準)、NERC CIP(北美電氣可靠性公司關鍵基礎設施保護)、CIS(互聯網安全中心)關鍵安全控制、GDPR(通用數據保護法規)等。
監管框架包括數據保護和隱私的組成部分,這些組成部分通過要求公司實施安全措施來保護個人數據,間接解決了漏洞管理問題。個人數據的丟失可能導致信譽喪失,并被美國證券交易委員會(Securities And Exchange Commission)等監管機構處以違反監管規定的罰款。由業務上下文確定優先級和驅動的漏洞管理實踐可以將處理PII的資產定義為關鍵資產,這可以極大地減少公司受到網絡攻擊的風險和受保護數據的外泄。
你對漏洞優先排序的自動化系統有何看法?他們如何應對手動方法的挑戰?
系統應持續運行并收集實時數據,以根據實際使用情況確定漏洞優先級,另一方面,傳統的漏洞系統通常會定期收集信息——按需、每周甚至每月,然而,缺乏當前的暴露環境可能會導致資源分配和安全漏洞,這會造成巨大的人力資源開銷,并造成安全漏洞,因為這些信息不會顯示公司暴露的當前地圖。
自動和連續的優先順序適應動態變化的攻擊面,反過來,團隊獲得了更高的準確性,減少了對手動數據收集和分析的依賴。自動化系統允許更大的容量來消化更多(和更高優先級)的數據,并更好地利用現有資源。
同時,在部署補丁之前,公司應考慮部署無補丁保護,以減少其受攻擊面。無補丁保護能夠保護尚未打補丁的已知漏洞,同時防止未知漏洞造成損害。
不完整的資產清單和數據如何影響確定脆弱性優先順序的過程,以及可以采用哪些戰略來克服這些挑戰?
影子IT資產或公司無法輕松訪問的資產上的漏洞無法補救。不是所有資產都可以完全映射,也不是所有資產——例如,運行任務關鍵型流程的資產——都可以更新。在這種情況下,公司需要一個清晰的地圖來定義哪些應用程序和資產構成最高風險,以便能夠分配資源來為整個公司繪制地圖并創建更廣泛的庫存。同時,公司應考慮應用補償性控制,例如自動移動目標防御,以保護運行無法修補的應用程序的系統。
公司在構建漏洞優先級排序公式時應考慮哪些關鍵因素?這些因素如何相互作用來決定補救工作的緊迫性?
沒有兩個公司是相同的,每個公司都可能希望根據不同的戰略確定優先順序。為此,漏洞管理系統應提供多種選項來推動工作,包括按業務環境對計算資產進行分組、考慮整個主機(計算設備)的暴露、聚合應用程序上的漏洞以及展示漏洞的可利用性和潛在可利用性。
因此,公司應確定其關鍵的優先級驅動點,例如,將重點放在業務關鍵型應用程序上,并根據該戰略推動補救流程。現代漏洞補救技術應該很容易適應公司選擇的戰略。
你認為漏洞優先排序的未來走向如何,特別是隨著網絡威脅和技術進步的演變?
由CVSS評分驅動的標準漏洞管理實踐已演變為基于風險的漏洞優先排序。下一步將是向風險暴露管理的范式轉變,這是一個更寬泛的術語,涵蓋了越來越多的元素,這些元素是代表公司風險的關鍵類別。
例如,除了應用程序漏洞外,公司還將深化對特定于公司的錯誤配置、權限和資產的識別和基于風險的評估,這些要素將構成總體風險評分的基礎,這將使安全專業人員能夠更好地將其有限的資源集中在能夠最大限度地降低風險的領域。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號