The following article is from 灰度安全 Author 老朱
灰度安全成立于2021年6月,是国内安全风险评估自动化的开创者。公司以“让安全价值看得见”为使命,坚持通过自主研发和创新,不断提升公司核心竞争力,致力于成为一家持续创新的安全公司。
漏洞管理工作面临的新挑战
漏洞管理是企业安全管理的重要环节,当前这项工作面临很多新的挑战。在新基建和安全左移的背景下,企业的软硬件资产不断增加,对应的漏洞数量也在逐年增长。这导致安全团队经常被淹没在大量的漏洞告警中,但是安全人员不可能处置所有的问题,如何确定漏洞修复优先级显得尤为重要。
不能有效评估漏洞修复优先级是很多企业在漏洞管理工作中面临的最紧要问题之一。有的企业通过扫描识别安全漏洞,然后直接进入修复阶段。考虑到各种因素,这种紧迫性可以理解。但这种做法归根结底会带来更大的风险,安全人员的很多精力投入到了没有真正风险的问题上,导致时间和资源的浪费。
VPT概念应运而生
针对漏洞管理面临的这些新挑战,漏洞优先级技术(Vulnerability Prioritization Technology,简称VPT )应运而生。
2019年,Gartner发布了“Market Guide for Vulnerability Assessment(2019)”(漏洞评估市场指南(2019)),VPT作为一个新技术点被提出。VPT解决方案需要结合漏洞评估报告、资产重要性、威胁情报等数据,通过高级分析技术,为安全管理人员提供漏洞修复优先级指导,以期在最短的时间内利用有效的资源进行漏洞修复,减少攻击面。
2021年,Gartner发布了“Market Guide for Vulnerability Assessment(2021)”(漏洞评估市场指南(2021)),VPT被进一步强调。在同年发布的“Hype Cycle for Security Operations, 2021”(2021安全运营技术成熟度模型)中,VPT被认为是一个新兴的巅峰技术,对企业漏洞管理工作具有重要意义。
VPT能够通过多种手段,将待修复漏洞进行优先级排序,达到使用合理的资源和最少的时间,尽可能的降低风险。通过将工作重点放在识别风险最大的漏洞并确定其优先级,企业简化了漏洞分析和补救缓解的过程。这项技术考虑的因素包括漏洞的可利用性、资产或业务关键性、漏洞的严重性以及适当的缓解控制。
为什么需要VPT
伴随着数字新基建的开展,IT技术和应用更加多样化。过去发现的漏洞多数集中在业务应用、中间件和操作系统等方面,而随着云计算、大数据、IOT、移动互联网和5G等技术的普及和应用,导致网络边界模糊化和攻击面扩大化,漏洞影响范围成倍增加。
这必然也会导致漏洞数量的快速增长和修复工作的压力增加。虽然安全设备和防护技术的种类增加了,但是企业部署之后的效果如何,并没有有效手段来持续监测和优化。
面临以上这些情况,安全人员需要投入更多精力来确定漏洞的修复优先级。在漏洞处置过程中,传统的方式仅通过通用漏洞评分系统(CVSS)来确定漏洞修复顺序。但是这种方式并未考虑到实际环境中漏洞的可利用性和资产重要性等因素,因而无法反映业务环境的真实风险情况。
安全人员难以准确判断可被攻击的关键漏洞,从而导致漏洞修复效率较低。有效的优先级评估需要把漏洞信息结合外部威胁、资产和业务环境等多种因素,智能地评估出真正的关键漏洞,帮助用户聚焦真实的风险。而VPT这项技术的出现正好满足了当前的用户需求。
为了提高漏洞管理水平和实现有法可依,我国在 2021 年 7 月 12 日由工业和信息化部、国家互联网信息办公室、公安部三部门联合发布了《网络产品安全漏洞管理规定》,并于 2021 年 9 月 1 日起正式施行。这既体现了高效漏洞管理的重要性,也标志着我国在漏洞管理方面将进行强力度的整改。
这项规定的发布推动了网络产品安全漏洞管理工作的制度化、规范化、法治化,有利于防范网络安全重大风险,保障国家网络安全,同时也对漏洞管理工作有了更高的要求和期许。
如何实现VPT
在漏洞管理过程中,安全团队要实时掌握外部安全威胁,并对内部资产进行关联,才能在安全漏洞爆发的第一时间察觉内部资产的安全状况,将大量漏洞智能化地评定优先级,聚焦高风险漏洞,并优先解决面临的真实风险。将VPT融合到漏洞管理的过程中,应该从以下几个方面着手:
聚焦真正的高风险漏洞,是VPT技术的核心理念,VPT的实现也能够帮助用户投入更少的时间和精力将安全工作提升到一个较高的水平。
VPT的实际应用
VPT是漏洞管理领域的创新技术,在国外发达地区该技术已得到突飞猛进的发展,但国内尚处于早期阶段。作为信息安全从业者,有义务对VPT进行推广和实现,让这项技术能够服务于国内政企,有效的提高安全工作效率,提升漏洞管理的水平。
面对国内市场的需求,灰度安全推出了先知•智能风险评估系统。基于风险评估理念,将VPT融合到了漏洞管理过程中。该系统结合用户实际网络环境,资产重要性、漏洞利用热度、CVSS评分、攻击路径和缓解措施建立优先级模型,动态、智能地评估出漏洞优先级,能够帮助用户构建以真实风险为中心的漏洞管理系统。
先知•智能风险评估系统聚焦于网络环境的综合风险评估,除漏洞管理功能之外,还可以对安全设备防护能力、纵深防御体系有效性和数据泄漏进行评估,帮助企业全面提升风险评估水平,做到安全工作成效可视化度量。
参考阅读