网络安全 频道

最佳网络安全策略:全面资产管理

  全面资产管理不是诱人的尖端算法,但研究显示,这是缓解常见漏洞利用的最佳工具。

  美国网络安全与基础设施安全局 (CISA)、澳大利亚网络安全中心(ACSC)、英国国家网络安全中心(NCSC)和美国联邦调查局(FBI)共同推出联合网络安全咨询报告,列举2020年经常被利用的30个顶级漏洞,清晰昭示保持软件资产修复与合规的重要性。

  本文将详细介绍联合咨询中的主要发现,探讨确保能跟踪所有软件资产清单的技术,并最终凸显增强可见性可缩短修复时间线的事实。

  攻击者日益激进

  这份联合网络安全咨询报告题为《常被利用的顶级漏洞》,揭示2020年最常被利用的12个顶级CVE中有四个都是当年披露的。有鉴于这些CVE中很多都是年中披露的,我们可以看出,攻击者真是一刻都等不及,几乎是漏洞一出就添加到他们的武器库中了。拉长时间线观察,全部12个顶级CVE皆是在2017-2020这三年间曝光的。坦率地说,这项研究表明,过去几周内披露的严重CVE都极有可能被利用。

  如果坐等六周以上才修复或更新系统,可能就太迟了。企业的修复流程往往费时费力,常会耗费数周到数月不等的时间。过长的修复周期就是攻击者利用安全漏洞的大好机会。

  有效资产管理应该是动态的,并且能够应对当今各种新兴威胁。所以,行业标准18项互联网安全中心控制措施(CIS Controls)(此前的SANS Top 20)将软件和硬件资产清单列为最重要的两个安全实践重点领域,帮助创建持续的漏洞管理系统。

  全面的资产可见性和管理是打造企业安全状态的基础。通过全面映射企业环境,企业能够轻松地大规模管理各种资产。随着企业的发展壮大,企业的攻击面变得越来越复杂,面临着软件和硬件遭恶意染指的风险。跟踪每个端点便成为了良好安全实践必不可少的第一步。

  衡量即完成

  相较于采用时间点工具的传统供应商,扩展检测与响应(XDR)解决方案提供统一的平台,可全面盘点和保护云、容器和传统端点资产。借助XDR平台,企业可以汇总实时资产清单并深入了解自身环境中发生的种种情况。

  顶级XDR解决方案会梳理源自各个资产的数据流,规范化存储到数据库中,方便用户查询。这意味着,无论是对容器配置有疑问,还是要进行实时应用审计,或者想搜索特定软件包的信息,XDR平台都可以即时给出答案。

  采用XDR解决方案,你可以在仪表板上总览全部资产,然后无缝深入了解各个资产的具体情况。

  如果采用统一资产管理平台应对新兴威胁,安全团队可以更快地分析、检测和采取响应措施。扩展保护不仅仅是可见性的问题:企业可以配置所用平台,让平台去执行繁琐任务,解放安全团队的双手,还可以通过平台实时获取关于资源过载、安全故障和罕见异常的详情。

  重建历史配置可以了解之前的安全状态,或者特定软件是否造成了性能问题。最佳做法是存储过去30到90天的历史数据。历史数据是确定随时间推移的风险的强大工具,且可供查询机器的实时状态或之前的状态。

  可见性缩短修复生命周期

  面对新兴关键漏洞,XDR解决方案可以大幅缩短原本需要数月之久的修复周期。我们不妨先分解传统漏洞管理周期,然后确定改善资产可见性能够减轻IT员工工作压力并加快修复进程的那些领域。

  传统的软件漏洞修复过程:

  1. 新的关键CVE出现了。安全团队往往会在关键CVE披露时获悉情况,但这一发现与体量较小的供应商有关,因此不会像微软或大型网络基础设施漏洞那样直击新闻头条,引起足够重视。

  2. 你拥有传统漏洞扫描工具,可以扫描部署了此代理的资产上的所有软件,获得时间点分析结果。这种扫描操作会导致资源利用率激增,因此只能每天或每周执行一次。你的安全团队人手不足,而且早已过劳,只能每周或每两周开次会看一下扫描结果。你配置了警报和仪表板,但待修复的CVE积压太多,有价值的新发现被噪音淹没,没有激起一点水花。

  3. 一周过去了,安全团队总算看到了这个新发现。似乎还挺重要,但优先级该排哪个档次尚不明确。团队决定将其作为下次会议讨论的事项。

  4. 新发现的漏洞摆到了两周一次的会议上。提出的问题诸如:这个软件运行在什么资产上?会是误报吗?谁在维护运行这个软件的资产?谁有空处理?这个漏洞的严重情况如何?面向互联网的资产上存在这个漏洞吗?如果存在,这种资产有多少?这些资产上有没有敏感数据?话说,我们到底有没有资产清单可以告诉我们到底都有哪些资产上运行着这个软件?我们联系下开发团队或者运营团队,了解下修改配置或升级软件会对当前稳定版造成什么影响吧。

  5. 还需要几天时间才能全面了解该软件的运行位置、运行该软件的资产想用它干什么,以及这些资产在互联网上的暴露情况如何。漏洞披露两周后,团队终于确定自家环境存在这个问题,而且问题还挺严重。

  6. 你的团队开启修复进程。尽管问题亟待解决,关键业务生产运营也不能停。你需要几周到几个月的时间走通在最低级别的测试环境中进行修复的所有步骤,观察对性能的影响。然后,确保测试环境中修复过程稳定后,你才会考虑将之逐步应用到更高级别的环境中,最终直至生产环境。

  7. 最后,几个月的周期以生产环境修复而告终,你按照建议升级或重配置资产,成功缓解了新发现的CVE。

  这个场景中,你可以看到从CVE披露,内部通告,团队了解全貌,确定修复优先级,到实现并测试修复程序之间,到底耗费了多少时间。尽管公司当前的修复实践可能不用走完上述所有步骤,但这里的关键是:广泛的可见性和资产管理可以有效缩短以下两个阶段的时间:1)了解问题全貌;2)自信实施修复。XDR工具可以快速回答关于漏洞波及范围和处理优先级的问题,还有助于了解补丁或升级可能对运营产生的影响。

  增强的可见性和洞察力让团队能够立即了解问题全貌,并回答上述围绕资产所有权、数据敏感性和最终优先级确定的关键问题。传统方式过度依赖跨团队沟通或关键内部人员。而借助统一管理平台,安全团队可以快速评估企业全部资产,实时筛选出哪些资产具有最高优先级。立即确定哪些资产子集具有最高优先级,或评估是否有合理的补偿控制措施来缓解新出现的CVE。

  在修复阶段,实施修复需要时间,因为得增量监控和推出补丁或更新的配置。这些延迟让攻击者有更多时间渗入企业环境并提取敏感数据。通过全面监控开发、测试和生产环境中各个端点的性能,即时捕获应用修复程序所产生的任何性能问题,覆盖整个修复生命周期的全面可见性可以减少验证修复所需的时间。在当今威胁环境中,等待数天或数周才能将补丁逐步挪到更高环境的传统方法不再可行,而XDR解决方案可为团队提供更广泛的可见性,从而使安全团队能够自信地面向整个环境推出更新,并显著缩短验证修复程序的耗时。

  没人能预测下一个威胁是什么样子的,但我们可以为团队准备最好的工具和流程,方便他们自信应对任何类型的CVE。安全团队可以凭借更广泛的可见性、独特的洞察力和实时资产管理,为明天的威胁做好准备。

1
相关文章