漏洞管理走向何方?
一、漏洞管理的由来:软件更新
最早的漏洞管理并没有漏洞的概念,只是单纯的补丁管理,并不是网络安全工作,而是IT工作。一直到了2001年“红色代码”出现之后,微软才开始常态化的发布安全补丁。之后,冲击波、震荡波等跨地域感染整个网络的大规模攻击变得越来越普遍,业界开始建立平台系统来记录和跟踪这些漏洞。第一个漏洞平台是由美国联邦机构根据国家标准与技术研究所(NIST)的建议于1999年创建,并于2002年发布了CVE漏洞命名方法,之后于2011年进行更新。一直到了2011年,随着第一个国家漏洞数据库(NVD)的建立,CVE才得到广泛普及和应用。
NVD是一个全面的网络安全漏洞数据库,集成了所有公开的美国政府漏洞资源,提供了行业资源的参考。它与CVE列表同步并基于CVE列表,CVE列表使用评分系统对风险的严重程度进行评分。NVD成为安全组织追踪漏洞并根据风险评分确定优先顺序的有效工具。
可以说从2011年开始,漏洞管理才成为开始成为安全行业的最佳实践。然而,随着漏洞的数量持续增长,以及IT基础设施的复杂性增加,漏洞管理变得越来越艰难。与它的前身软件更新不同,许多时候业务系统不允许中断,而且很多机构也没有安排专门的预算或团队来定期进行测试、部署和安装补丁。
NVD的建立是安全行业在漏洞管理方面的巨大进步。然而,有两个新问题的出现导致漏洞管理的艰难。第一个问题是与时间赛跑,从漏洞被披露的那一刻起,到发布并应用补丁,以确保漏洞不会被坏人利用,这一段时间窗口从过去的数月到现在的数天,甚至是数小时。而且,并非每个漏洞都有补丁。有一种常见的误解,即每个漏洞都可以通过补丁修复,但事实并非如此。数据显示,补丁管理只能覆盖10%的已知漏洞。这意味着其他90%的已知漏洞无法修补,于是只剩下两个解决方案,要么找替代方法,要么从头开始修复源代码。
第二个问题是,NVD的建立目的本来是帮助机构抵御攻击者,但很不幸,坏人也一样可以参考NVD上的漏洞。尤其是近年来自动化和机器学习令网络犯罪更加的方便和低成本,攻击者根据NVD中的漏洞数据,可快速、轻松地扫描未修补的系统,并确定目标系统正在使用哪些软件版本,以及哪些软件尚未修补。
网络攻防的双方是不对等的,正如上文中说到的,补丁是滞后的,而攻击者只需找到一个脆弱点就可能把整个防御体系突破。这就是为什么漏洞管理是安全工作的一个基本底线(数世咨询的能力图谱将“漏洞管理”列入基础与通用技术的分类)。然而,面对层出不穷的漏洞,IT和安全团队捉襟见肘,根本无法跟上任务的进度,迫切需要一种更加有效的方式来做好漏洞管理。
二、基于风险的管理:漏洞优先级
在漏洞管理方面,有三个主要角色:安全分析师、IT人员和攻击者。
安全分析人员不断地对网络安全威胁和攻击进行甄别和响应。他们通过各种安全工具和威胁来源来评估和理解风险,而且经常面临安全事件处理的压力。他们常常位于可能对组织产生负面影响的威胁情报、政府预警和安全事件的风头浪尖。
IT团队则肩负着系统可用性和响应能力的任务,这使得他们在实施补丁时犹豫不决,除非能够清楚风险的优先级。他们必须在业务系统连续性和实施安全补丁两者之间取得平衡,这些补丁往往是非计划内的,如果未经测试或审查,可能会对系统性能和可靠性产生负面影响。这些IT人员还经常各自为岗,管理其职责范围内的IT运维和风险。
不幸的是,安全团队和IT团队之间通常存在很多配合不顺的障碍,使他们无法协同抵御攻击者。这是一种不对称的威胁,攻击者只需要知道一个弱点或漏洞就可以破防,而防御者必须知道并堵上每一个弱点或漏洞才能做好防御。不仅如此,攻击者越来越多地利用网络犯罪即服务(CaaS)来实施网络攻击。以当今最大的勒索软件团伙之一Conti为例,就以典型的勒索软件即服务模式运作。
为了有效防御网络犯罪,安全和IT团队必须通力合作,缩短漏洞修补时间。但不管是出于漏洞数量太多,还是漏洞的危害程度不同等原因,IT和安全团队不应该也不可能打上所有的补丁。鉴于此,一种基于风险的漏洞管理理念开始受到业界认可,即漏洞优先级处理。
据粗略统计,目前有约有20万个漏洞,其中2.2万漏洞有补丁。另一个数据是,在这20万个漏洞里,被恶意软件武器化的有2.5万个漏洞中,但这些被武器化的漏洞里,只有2000个漏洞有补丁。这意味着IT和安全团队必须确定构成高风险的武器化漏洞。
例如,6000个武器化漏洞能够远程执行代码,有589个补丁可用。但在这6000个武器化漏洞中,只有130个漏洞正在被利用,而且这130个漏洞,只有68个补丁可用。IT和安全团队则必须优先实施打上这68个补丁。这就是基于风险的方法来识别和优先考虑哪些漏洞需要尽快补救。美国白宫在2021年6月发布了一份备忘录,鼓励各机构使用基于风险的评估策略来推动补丁管理,并加强网络安全以抵御勒索软件攻击。
总而言之,机构必须专注于修补高风险的漏洞。要做到这一点,则需要了解每个漏洞和相关的补丁。哪些漏洞是已经有了利用代码,已经被武器化的,或是与勒索软件相连,以确保根据威胁风险对补丁进行优先排序。
三、未来:超自动化
网络安全左移和右移的理念已经得到业内的广泛认可,但除了应用安全,无处不在且不断快速增长的网络空间资产更是令打补丁这项工作成为了不可能的任务。似乎只剩下一条路可走,自动化,或者说智能化更加准确些。因为,不仅是实时性,前瞻和预测也同样重要。只有机器速度的识别、理解和响应,安全团队才能够在几乎不需要人工干预的情况下,主动、快速地解决问题。自动化将完成大部分工作,人只是最终的仲裁者,根据机器提供的智能分析采取适当的行动决策。这个过程区别于传统的自动化,可称之为超自动化。
在接下来的五年里,我们将看到超自动化在漏洞补丁管理中的广泛应用。如果说漏洞管理时代开始于2011年,基于风险的漏洞管理开始于2017年(Wanncry和Nopetya),那么从2023年至2025年将是从基于风险的漏洞管理过渡到超自动化管理的时期。
到2025年,我们应该看到更多的安全控制以代码的形式编写并嵌入到软件中,比如将策略作为代码,将安全作为代码,将开发作为代码。同样,我们将补丁作为代码,暴露面作为代码,漏洞枚举作为代码。“作为一种代码”(as a code)将成为未来十年的流行语。随着它成为热门话题,我们将在“自动化技术嵌入软件”方面取得巨大进展。
漏洞管理的未来将集中于自动化,尤其是漏洞扫描过程的自动化。随着企业IT环境继续变得越来越复杂,现在是时候考虑自动化工具的时候了。
参考阅读