了解漏洞管理解决方案如何帮助安全团队主动发现、确定优先级并解决 IT 资产中的安全漏洞。
什么是漏洞管理?
漏洞管理是 IT 风险管理的一个子领域,是对组织 IT 基础设施和软件中的安全漏洞的持续发现、优先级排序和解决。
安全漏洞是网络或网络资产的结构、功能或实现中的任何缺陷或弱点,黑客可以利用这些缺陷或弱点发起网络攻击,获得对系统或数据的未经授权的访问,或以其他方式损害组织。常见漏洞的示例包括可能允许某些类型的恶意软件进入网络的防火墙配置错误,或可能允许黑客接管设备的操作系统远程桌面协议中未修补的错误。
由于当今的企业网络如此分散,并且每天都会发现如此多的新漏洞,因此有效的手动或临时漏洞管理几乎是不可能的。网络安全团队通常依靠漏洞管理解决方案来实现流程自动化。
互联网安全中心 (CIS) 将持续漏洞管理列为其关键安全控制之一,以防御最常见的网络攻击。漏洞管理使IT安全团队能够在漏洞被利用之前识别并解决漏洞,从而采取更主动的安全态势。
图片
漏洞管理流程
由于新的漏洞随时可能出现,因此安全团队将漏洞管理视为一个连续的生命周期,而不是一个离散的事件。该生命周期包括五个持续且重叠的工作流程:发现、分类和优先级、解决、重新评估和报告。
1. 发现
发现工作流程以漏洞评估为中心,这是一个检查组织所有 IT 资产是否存在已知和潜在漏洞的过程。通常,安全团队使用漏洞扫描软件自动执行此过程。一些漏洞扫描器定期执行全面的网络扫描,而其他扫描器则使用安装在笔记本电脑、路由器和其他端点上的代理来收集每个设备上的数据。安全团队还可以使用间歇性漏洞评估(例如渗透测试)来定位扫描仪可能无法识别的漏洞。
2. 分类和优先级
一旦识别出漏洞,就会按类型(例如设备配置错误、加密问题、敏感数据泄露)对它们进行分类,并按严重程度确定优先级,这是对每个漏洞的严重性、可利用性和导致攻击的可能性的估计。
为了确定严重性,漏洞管理解决方案通常利用威胁情报源,例如通用漏洞评分系统 (CVSS),这是一种开放的网络安全行业标准,以 0 到 10 的范围对已知漏洞的严重性进行评分;MITRE 的常见漏洞和暴露 (CVE) 列表;以及 NIST 的国家漏洞数据库 (NVD)。
3. 分辨率
一旦确定了漏洞的优先级,安全团队就可以通过以下三种方式之一解决它们:
- 修复——完全解决漏洞,使其不再被利用,例如通过安装修复软件错误的补丁或淘汰易受攻击的资产。许多漏洞管理平台提供修复工具,例如补丁管理(用于自动补丁下载和测试)以及配置管理(用于从集中式仪表板或门户解决网络和设备配置错误)。
- 缓解——使漏洞更难被利用,和/或减轻利用的影响而不完全消除漏洞。让易受攻击的设备保持在线状态,但将其与网络的其余部分隔离,就是缓解措施的一个例子。当补丁或其他补救方法尚不可用时,通常会执行缓解措施。
- 接受——选择不解决漏洞。通常会接受严重程度较低的漏洞,这些漏洞不太可能被利用或不太可能造成重大损害。
4. 重新评估
当漏洞得到解决后,安全团队通常会进行新的漏洞评估,以确保他们的缓解或修复工作有效,并且不会引入任何新的漏洞。
5. 报告
漏洞管理平台通常提供仪表板来报告平均检测时间 (MTTD) 和平均响应时间 (MTTR) 等指标。许多解决方案还维护已识别漏洞的数据库,这使安全团队能够跟踪已识别漏洞的解决方案并审核过去的漏洞管理工作。
这些报告功能使安全团队能够为持续的漏洞管理活动建立基线,并随着时间的推移监控程序性能。报告还可用于在安全团队和其他可能负责管理资产但不直接参与漏洞管理流程的 IT 团队之间共享信息。
图片
什么是基于风险的漏洞管理?
基于风险的漏洞管理(RBVM)是一种相对较新的漏洞管理方法。RVBM 将利益相关者特定的漏洞数据与人工智能和机器学习功能相结合,以三个重要方式增强漏洞管理。
更多背景信息可实现更有效的优先级排序。如上所述,传统的漏洞管理解决方案使用 CVSS 或 NIST NVD 等行业标准资源来确定重要性。这些资源依赖于可以确定所有组织中漏洞的平均严重性的通用性。但他们缺乏特定于利益相关者的漏洞数据,这可能会导致漏洞对特定公司的重要性过高或过低。
例如,由于没有安全团队有时间或资源来解决其网络中的每个漏洞,因此许多团队会优先考虑具有“高”(7.0-8.9)或“严重”(9.0-10.0)CVSS 评分的漏洞。但是,如果资产中存在“关键”漏洞,但不存储或处理任何敏感信息,或者不提供通往网络高价值部分的路径,则补救措施可能会错误地分配安全团队的宝贵时间。另一方面,CVSS分数较低的漏洞对某些组织的威胁可能比其他组织更大。2014 年发现的 Heartbleed 漏洞在CVSS等级上被评为“中”(5.0),但黑客利用它实施了大规模攻击,例如窃取450万患者的数据来自美国最大的连锁医院之一。
RBVM 使用特定于利益相关者的漏洞数据(受影响资产的数量和严重性、资产与其他资产的连接方式以及漏洞利用可能造成的潜在损害)以及有关网络犯罪分子如何与现实中的漏洞交互的数据来补充评分。世界。它使用机器学习来制定风险评分,更准确地反映每个漏洞对组织的具体风险。这使得 IT 安全团队能够在不牺牲网络安全的情况下优先处理少量的关键漏洞。
实时发现。在RBVM中,漏洞扫描通常是实时进行的,而不是定期进行。此外,RBVM 解决方案可以监控更广泛的资产:传统的漏洞扫描程序通常仅限于直接连接到网络的已知资产,而 RBVM 工具通常可以扫描本地和远程移动设备、云资产、第三方应用程序和其他资源。
自动重新评估。在RBVM过程中,可以通过持续的漏洞扫描自动进行重新评估。在传统的漏洞管理中,重新评估可能需要有意的网络扫描或渗透测试。
漏洞管理和攻击面管理
漏洞管理与攻击面管理(ASM)密切相关。ASM 是对构成组织攻击面的漏洞和潜在攻击向量的持续发现、分析、修复和监控。ASM 和漏洞管理之间的核心区别之一是范围。虽然这两个流程都会监控和解决组织资产中的漏洞,但 ASM 采用更全面的方法来实现网络安全。
ASM 解决方案包括资产发现功能,可识别和监控连接到网络的所有已知、未知、第三方、子公司和恶意资产。ASM 还扩展到 IT 资产之外,以识别组织的物理和社会工程攻击面中的漏洞。然后,它从黑客的角度分析这些资产和漏洞,以了解网络犯罪分子如何利用它们渗透网络。
随着基于风险的漏洞管理 (RBVM) 的兴起,漏洞管理和 ASM 之间的界限变得越来越模糊。组织通常将 ASM 平台部署为 RBVM 解决方案的一部分,因为 ASM 提供了比单独的漏洞管理更全面的攻击面视图。
