CVE差強人意的原因

在安全研究人員眼中，通用漏洞與暴露（CVE）確實是個問題，但原因可能與大眾所想的不太一樣。

雖然IT和安全團隊會因為CVE帶來的威脅和所造成的大量修復工作而很不喜歡此類漏洞，但現代安全規程與CVE相關聯的方式才是問題所在。我們的緩解策略變得過于專注“漏洞管理”，過于以CVE為中心，而若想有效縮減暴露面，我們真正需要的卻是以黑客為中心的方法。

以漏洞管理為主要策略其實沒什么效果。美國國家標準與技術研究所（NIST）揭示，僅2021年一年就發現了兩萬多個新漏洞。漏洞發現數量連續五年刷新紀錄，而且2022年看起來還會延續這一趨勢。安全團隊其實無法每年修復兩萬多個新漏洞，就算能修復，也不應該全都修復。

上述論點或許聽起來有點違反直覺，但其背后是有原因的。首先，最近的研究揭示，僅15%的漏洞可以實際利用，所以對于滿負荷運轉的安全團隊而言，每個漏洞都修復并不能有效利用時間。其次，同樣重要的是，即使真的持續修復網絡上的所有CVE，也未必真就能有效阻止黑客。

黑客策略龐雜繁多

網絡釣魚、魚叉式網絡釣魚、各個層次的社會工程、憑證盜竊、默認憑據、未經身份驗證的標準接口（FTP、SMB、HTTP等）訪問、不用密碼即可訪問的熱點、網絡投毒、密碼破解——黑客使用的策略豐富多樣，其中許多甚至不需要高級CVE或任何CVE就可對企業造成威脅。最近的Uber數據泄露就是個絕佳案例，黑客壓根兒沒利用最新CVE或過于復雜的攻擊方法就成功了。

取決于你是否相信黑客在Uber的Slack頻道上所言，或者Uber最近的評論，黑客要么是個通過巧妙社會工程/魚叉式網絡釣魚攻擊從Uber員工那兒滲漏出數據的18歲青年，要么是執行魚叉式網絡釣魚攻擊并利用暗網所獲第三方承包商被泄憑證的南美黑客組織Lapsus$。無論哪種情況，都不涉及復雜編程或漏洞利用。相反，這就是個久經驗證的老套路而已。

漏洞不重要，方法是關鍵

別誤會，漏洞修復是很重要的一項工作，是良好安全態勢的關鍵部分，也是每個安全策略的重要構成。問題在于，現在的很多工具都重在僅基于通用漏洞評分系統（CVSS）的修復建議，卻忽略了組織環境：了解如何篩選出有實際意義的那15%的漏洞。

以色列國防軍資深滲透測試人員、主管滲透測試和紅隊隊員的Pentera研究副總裁Alex Spivakovsky表示，真正其決定作用的不是漏洞，而是方法。攻擊不是始于重大漏洞并不意味著攻擊不會造成重大傷害。對公司而言最危險的漏洞CVSS得分可能只有5分，埋在一長串高分誤報底下默默無聞。

被泄憑證威脅更大

被泄憑證對普通公司的威脅可能遠大于十幾個新CVE的總和，但很多公司并未設置發現自家憑證是否在暗網流傳的任何規程。我們表現得好像黑客會花費無數小時開發CVE利用程序一樣，而他們實際上只是在找最高效的方式來訪問我們的網絡。現在的很多黑客和黑客組織都是求財，既然求財，其表現就跟任何公司一樣了：時間花在刀刃上，追求最佳投資回報率。既然能輕松買到或刮取登錄憑證，何苦耗費時間執行復雜攻擊呢？

當下，我們的防御措施效果不佳，而作為安全專業人員，我們需要重新審視弱點都在何處。盡管漏洞管理肯定是任何有意義的安全策略的核心部分，但我們不能再將其作為主要方法了。相反，我們需要仔細考慮黑客所用策略，我們的安全策略要重在如何阻止黑客上。想要有效減少威脅暴露面，我們的策略就必須專注了解現實世界中黑客用來針對我們的技術和方法。